보안과 관련된 수많은 위협 중 가장 악질에 속하는 건 파일을 암호화해 몸값을 요구하는 랜섬웨어(ransomware)다. 기업의 입장에서 사업상 중요한 데이터나 콘텐츠가 인질로 잡혀 있으면, 어쩔 수 없이 금전을 지불하는 걸 고민할 수밖에 없다. 수많은 랜섬웨어 중 최근 악명을 떨치고 있는 것으로 콘티(Conti)와 록빗(LockBit)을 꼽을 수 있다. 근래 발생한 랜섬웨어 공격의 절반 이상이 두 그룹에 의해 발생했다. 일반인들은 랜섬웨어를 악성코드 정도로 생각하지만, 사실은 거대 비즈니스이자 생태계로 이뤄져 있다. 암호화폐가 활성화되면서 익명으로 암호화폐를 받아 현금화하기가 쉬워져 랜섬웨어 생태계가 급속히 커졌다.

콘티 랜섬웨어는 2020년 5월 처음 확인됐다. 보안기업 어드밴스드 인텔리전스가 조사한 결과 2021년 하반기에만 1800억원이 넘는 수익을 올린 것으로 밝혀졌다. 지금까지 코스타리카 정부, 뉴질랜드 보건국, 스코틀랜드 환경보호청, JVC 켄우드, 대만 컴퓨터 기업 어드밴텍, 스칸디나비아 지역 최대의 호텔 체인 노르딕 초이스 등 여러 정부기관과 대기업이 콘티의 희생양이 됐다.

콘티는 러시아 기반의 그룹에서 배포한 것으로 추정된다. 최대 32개의 스레드(Thread)와 AES-256 암호화 기법을 활용해 빠르게 파일을 망가뜨린다. 콘티로 암호화된 파일을 복구하는 유일한 방법은 최신 백업본에서 복구하는 것이다(그런데 콘티는 백업까지 찾아내 삭제한다). 그게 아니면 금전을 지불하고 해독 방법을 받는 것이다. 콘티는 피해자와의 협상 중에 대외적으로 협상 내용이 공개되면 즉시 협상을 중지하고 피해자의 데이터를 웹상에 공개해버린다.

지금까지 콘티의 조직 구성은 베일에 싸여 있었다. 최근 우크라이나 전쟁으로 내분이 발생해 조직의 실체가 드러났다. 콘티는 친러시아 그룹답게 우크라이나 전쟁에서 러시아 정부를 공개적으로 지지했다. 구성원 중 일부가 반발하면서 트위터를 통해 콘티 내부에서 주고받은 6만건 이상의 메시지가 공개됐다. 공개된 내용에 따르면 콘티 그룹에는 CEO 역할을 하는 리더가 있고 인사, 교육, 교섭, 홍보, 개발, 실행 등 부서가 나뉘어 있다. 메인 팀에 60~100명의 팀원이 유동적으로 일하는 것으로 파악됐다. 이들은 인사와 교육 시스템을 갖추고 지속적으로 조직원을 채용했다.

지난 5월 미국 정부는 ‘초국가적 조직범죄 보상 프로그램(TOCRP)’에 따라 콘티 그룹에서 핵심적인 역할을 하는 사람의 신원 정보 제공에 최대 1000만달러의 포상금을 내걸었다. 미 국무부는 코스타리카 정부의 피해 사례를 언급하며, 랜섬웨어가 세금 징수와 무역에 심각한 영향을 미치고 있다고 밝혔다. 포상금이나 초국가적 협조에 의해 어쩌면 콘티 그룹의 리더가 잡히거나 조직이 해체될 수도 있다. 그렇다고 해도 해킹 범죄의 거대 수익에 매력을 느끼는 범죄자들은 끊임없이 창궐할 것이다. 개인, 기업, 정부가 지속적으로 보안 지식과 기술을 업데이트하면서 예방하는 것 외에는 방법이 없다. 디지털 시대에 빛이 우리와 함께하듯이 어둠도 언제나 함께할 것이기 때문이다.

<류한석 IT 칼럼니스트>