|
랜섬웨어는 컴퓨터 내부 주요 파일을 암호화해 쓸 수 없도록 해 접근을 차단한 뒤, 이를 풀어주는 대가로 ‘몸값’(ransom)을 요구하는 해킹 수법이다.
콘티의 범행 사실과 그 규모는 우크라이나 전쟁을 계기로 조직원들의 대화 내용이 유출되면서 공개됐다. 콘티는 지난 2월 러시아의 우크라이나 침공을 지지하는 성명을 냈는데, 이에 반발한 우크라이나 지지자들이 지난 2020년 6월부터 2022년 3월까지 조직 내 대화 내용을 인터넷에 유출시켰다.
해커들의 대화는 러시아어로 이뤄졌으며, 대화에 참여한 인원은 약 350명 정도로 추정됐다. 닛케이가 미쓰이물산시큐어디렉션과 이를 분석한 결과, 콘티는 지난 1년 반 동안 전 세계 기업들과 공공기관 등을 대상으로 랜섬웨어 공격을 감행한 뒤 그 대가로 100억엔 상당의 암호화폐를 탈취했다.
싱가포르 보안업체 다크트레이서에 따르면 전 세계적으로 공식 확인된 랜섬웨어 피해 기업 중 824개사가 콘티로부터 공격을 당했다. 이는 전체 피해 기업의 약 20%로 가장 큰 비중을 차지한 것이다.
콘티가 활용한 암호화폐 중 비트코인은 645개 계좌에 2321개 코인이었다. 2022년 3월 기준 가격으로 환산하면 118억엔(약 1170억원) 규모다. 이 중 ‘몸값’으로 추정되는 외부에서 입금된 비트코인이 1953개, 약 100억엔 규모였다. 입금된 비트코인은 추적을 피하기 위해 이후 여러 계좌로 옮겨진 뒤 암호화폐 거래소를 통해 현금화하는 등 세탁 과정을 거쳤다.
발언 횟수가 1000회를 넘은 것은 35명에 불과했는데, 이들이 조직의 리더로 추정된다. 사이버 공격은 리더의 지시 아래 수백명의 해커들이 긱워커처럼 단독 참가하는 방식으로 진행됐다. 일부는 범죄인줄도 모르고 해킹에 참여한 것으로 추정된다.
콘티는 특히 해킹을 실행하는 조직, 피해 기업과 교섭하는 조직, 인사나 섭외·홍보를 담당하는 조직 등까지 마치 대기업처럼 업무를 분산화하고 사이버 범죄를 ‘비즈니스화’하고 있는 것으로 나타났다.
아울러 대화 내용에서 러시아연방안보국(FSB)와의 유대 관계를 암시하는 내용도 확인됐다. 이에 따라 콘티는 다시 한 번 미국 등 서방 국가들의 표적이 됐다. 미 정부는 지난 6일 콘티에 최대 1000만달러(약 128억원)의 현상금을 내걸었다.
한편 공개되지 않은 사이버 범죄 사례까지 감안하면 콘티의 범행은 빙산의 일각일 뿐이라는 지적이다. 미 보안업체 소닉윌에 따르면 지난 해 전 세계 랜섬웨어 공격은 약 6억 2300만건으로 전년대비 2배 이상 급증했다.
닛케이는 “우크라이나 침공을 둘러싼 서방의 제재로 러시아 경제가 악화하면 콘티가 사이버 범죄 활동을 더욱 활발하게 벌일 수 있다”고 우려했다.