[데이터넷] ‘세계에서 가장 위험한 랜섬웨어’로 악명을 떨친 ‘락비트(LockBit)’의 공격용 인프라가 영원히 사라지게 됐다. 영국 국가범죄청(NCA), 미국 법무부·FBI, 유로폴 등으로 구성된 국제공조를 통해 락비트를 장악했으며, 락비트 웹사이트는 이 사실을 알리는 스플래시 페이지로 대체됐다.

유로폴이 ‘크로노스 작전(Operation Cronos)’이라고 명명한 이번 국제 공조는 NCA가 주도했으며, 네덜란드, 독일, 핀란드, 프랑스, ​​스위스, 호주, 미국, 영국 등에서 운영하고 있던 락비트의 34개 서버를 중단시켰다. 또한 범죄 조직과 관련된 200개 이상 암호화폐 계정을 동결시켜 범죄자금 수익화를 막았으며, 피해자 정보를 공개한 다크웹 유출사이트도 통제했다.

참여한 수사기관은 몇 달 동안 락비트 인프라를 해킹해 정보를 수집하고 분석했으며, 락비트 랜섬웨어로 암호화된 파일을 복구할 수 있는 해독 도구도 개발해 ‘노 모어 랜섬(No More Ransom)’ 포털에서 무료로 제공한다. 노 모어 랜섬은 37개 언어를 지원하며, 150여가지 랜섬웨어를 해독할 수 있는 도구를 지원한다.

국제공조 수사조직은 락비트에 참여한 범죄자 2명을 체포했다고 밝히기도 했다. 우크라이나와 폴란드에서 검거된 이들이 락비트에서 어떤 역할을 했는지, 혹은 계열사의 일원인지 확실하게 공개되지 않았지만, 이들을 통해 더 많은 범죄자와 범죄조직을 알아낼 수 있을 것으로 기개된다.

미국 법무부는 일전에 검거된 락비트 랜섬웨어 구성원인 러시아인 2명을 최근 기소했다. 바스터로드(Bassterlord)라고 불리는 악명높은 해커인 이들은 락비트 랜섬웨어 배포와 금품 갈취에 가담한 것으로 알려지며, 미국과 싱가포르, 대만, 레바논 등을 대상으로 공격한 것으로 전해진다. 기소된 이 중 콘드라티예프(Kondratiev)는 랜섬웨어 공격 수행의 가이드가 되는 매뉴얼을 작성한 것으로 드러났다.

랜섬웨어 피해 시 반드시 관계기관 신고해야

락비트는 2019년부터 활동해왔으며, 2022년에는 가장 많이 배포된 랜섬웨어로 기록됐다. 서비스형 랜섬웨어(RaaS)로 제공되는 락비트는 수백개의 계열사를 모집하고 있으며, 수익금 평균 3/4를 핵심 팀과 계열사에 분배한다. 락비트가 Raas를 통해 얻는 수익은 몸값의 20%이며, 4년간 1억2000만달러를 벌어들인 것으로 알려지는데 정확한 집계는 아니다.

이들은 데이터 암호화와 유출 협박, 디도스 공격 등 삼중갈취 공격을 진행하며, 1만4000여개의 악성계정을 이용해 정보유출과 공격 인프라 운영을 진행한다.

이들은 몸값 지불을 거부한 피해자를 유출 사이트에 공개하는데, 가장 최근 조사한 바에 따르면 2000개 조직 이상이다. 가장 유명한 콘티, 알프브이(AlphV), 클롭 유출 사이트 공개 데이터를 합친 것 보다 많다. 전문가들은 락비트가 전체 랜섬웨어의 25%를 차지한다고 분석한다.

한편 유로폴은 락비트 검거 사실을 알리는 보도자료를 통해 “법 집행기관이 랜섬웨어 위협을 줄일 수 있는 역량을 갖추고 있다는 사실이 입증되고 있다. 피해자와 민간이 참여해야 더 높은 성과를 얻을 수 있다”며 “피해조직이 더 일찍 신고할수록 더 빠르게 피해를 완화할 수 있다”며 랜섬웨어 피해 시 관계기관에 신고할 것을 권고했다.

김선애 기자 다른기사 보기