전 세계적으로 기승을 부리고 있는 유명 국제 ‘서비스형 랜섬웨어(RaaS)’ 그룹들은 각자 전문 분야를 가지고 활동을 하고 있을 정도로 그 기술력이나 수법이 고도화돼 있다. 그간 조직의 금전적 이익을 위해 기업을 타깃으로 활동하던 RaaS 그룹들이 최근에는 정치적·이념적 목적을 위해 인프라 산업이나 공공기관을 해킹하는 ‘핵티비스트(Hacktivist·해커와 활동가의 합성어)’와 손을 잡은 정황도 포착됐다. 지정학적 이슈가 집중돼 있는 유럽이나 중동 지역에서 활동하던 일부 RaaS 그룹은 무대를 아시아태평양(APAC) 지역으로 옮겨 비교적 안전지대에 있다고 평가받던 우리나라까지 가시권 안에 두고 있는 상황이다.
10일 미국의 클라우드 컴퓨팅 보안 솔루션 업체 아카마이테크놀로지스에 따르면 2019년 등장해 유럽을 기반으로 활동하던 유명 국제 해킹 그룹 록비트(LockBit)는 지난해부터 올해까지 아시아태평양 국가들을 상대로 해킹 활동을 진행하고 있는 것으로 파악됐다. 록비트는 2022년 프랑스와 영국 등 유럽 국가의 병원이나 기업들을 공격해 악명을 떨친 뒤 지난해 초 유럽의 인터폴 격인 유로폴 등에 소탕됐다. 그러나 완전히 사라지지 않고 다시 등장한 록비트는 지난해에 일본의 나고야 항구, 우리나라의 대기업과 국세청 등을 공격했다고 주장하는 등 주 무대를 바꿔 활동을 이어가고 있다.
지난해 초에 등장했다 1년 만에 활동을 중단한 국제 해킹그룹 ‘랜섬허브(RansomHub)’도 심각한 피해를 양산했다. 의료·교육·공공시설 위주로 해킹 범죄를 자행하는 랜섬허브는 2024년 초에 등장했지만 불과 1년 만에 전 세계 200여 곳의 기관을 해킹해 국제 보안 업계 사이에서 ‘요주의 단체’로 등극했다. 랜섬허브는 특정 운영체제(OS)에 국한하지 않고 윈도나 VM웨어 등 여러 OS를 동시에 감염시킬 수 있는 ‘멀티 OS 랜섬웨어’로 존재감을 각인시켰다. 이들은 제휴사에 90%의 수익을 지급하는 등 파격적 수익 분배 구조와 각종 서비스 제공 등을 통해 빠르게 제휴사들을 모집해 단기간에 큰 영향력을 미칠 수 있었다.
현재 록비트와 랜섬허브의 영향력은 다소 약해졌지만 계열사 형태로 빠져나오거나 이들의 기술을 이어받은 형식으로 신규 출범한 해킹 그룹들이 활개를 치고 있다. 특히 최근에는 전문 해킹 조직이 서비스를 만들고 이를 사간 핵티비스트들이 해킹을 저지르는 분위기가 포착되고 있다. ‘어나니머스’라는 핵티비스트의 경우 기존 해킹 그룹과는 다르게 금전적 이득을 위해 활동하는 것이 아닌 이념적 목표를 달성하기 위해 기업이 아니라 국가시설 등을 공격하고 있어 더욱 주의가 필요하다. 특히 러시아·우크라이나 전쟁이나 미중 갈등 등으로 비화된 신냉전 시대에 친미 국가들을 향한 공격이 늘어나고 있어 대외 관계의 변화에 따라 우리나라도 사정권에 포함될 가능성이 있다는 것이다.
미국 네트워크 보안 서비스 업체 아카마이테크놀로지스는 “러시아에 적대적이거나 서방 진영과 연대한 국가 위주로 공격을 감행하던 RaaS 그룹 ‘스토머스(Stormous)’가 공격 범위를 인도나 베트남 등 아시아 국가들로도 넓히고 있다”며 “이외에도 팔레스타인 무장정파 하마스와 갈등을 빚고 있는 이스라엘을 지원하는 국가를 공격하는 드래건포스(DragonForce)나 보안이 취약한 소규모 조직을 겨냥하는 드래건라스(Dragon RaaS) 등 핵티비스트들의 위협도 지속적으로 확대될 것으로 보인다”고 밝혔다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
vegemin@sedaily.com
