러시아 관련 해커집단 ‘콘티’... 랜섬웨어 이용해 약 987억 원 탈취

입력 2022-05-16 10:54

  • 작게보기

  • 기본크기

  • 크게보기

해킹‧대기업 교섭‧인사 관리 등 분업, 범죄의 비즈니스화
645개 계좌 이용해 추적 피해
러시아에 대한 서방 제재 강화되면 활동 늘어날 수도

▲1월 14일 해킹 피해를 본 우크라이나 외교부 웹사이트에 해커 그룹이 남긴 경고 문구가 떠 있다. 로이터연합뉴스

러시아와 관련이 있는 것으로 알려진 세계 최대 해커집단 중 하나인 ‘콘티(Conti)’의 활동 실태가 드러나고 있다.

16일 일본 니혼게이자이신문(닛케이)에 따르면 콘티는 랜섬웨어를 이용해 1년 반 동안 100억 엔(약 987억 원) 상당의 가상화폐를 탈취했다.

랜섬웨어는 전산망에 악성 프로그램을 심은 뒤 시스템을 복구해주는 대가로 금전을 요구하는 범죄 행위다. 콘티는 645개에 달하는 가상화폐 계좌를 활용해 자금 이동을 복잡하게 만들어 추적을 피해왔다.

콘티는 해킹 조직과 기업 교섭 조직 그리고 인사를 담당하는 곳까지 존재하는 기업 형태의 기능 분산화를 이룬 것으로 알려졌다. 사이버 범죄의 비즈니스화가 일어나는 셈이다.

콘티의 활동은 2020년 5월부터 확인되기 시작했다. 이들은 파나소닉홀딩스의 캐나다 자회사나 아일랜드의 공기관 등 민관을 불문하고 해킹을 했다.

싱가포르 조사기관 다크트레이서는 전 세계 랜섬웨어 공격이 공식 확인된 피해 기업 중 최대 20%(824곳)가 콘티 공격이라고 분석했다. 미국 정부는 3월부터 국제사회에 콘티 경계를 호소해왔으며, 6일에는 콘티에 1000만 달러(약 128억 원)에 달하는 현상금을 걸었다.

콘티는 2월 우크라이나를 침공한 러시아 지지 성명을 냈다가 내부 반발을 겪었다. 우크라이나 지지 멤버가 조직 내 대화를 인터넷에 유출시킨 것이다. 유출된 대화는 2020년 6월부터 2022년 3월까지 이뤄졌고 러시아어로 써져 있었다. 메시지 약 17만 건, 700만 자에 해당하는 양이다.

닛케이는 미쓰이물산시큐어디렉션과 여러 전문가들과 함께 내용을 분석했다. 콘티가 활용한 가상화폐 비트코인 계좌 645개에는 2321개의 코인이 들어있었다. 채팅 유출된 시점인 3월 기준 118억 엔 상당이다.

가장 입금이 많이 이뤄진 계좌에서는 2개월간 한 번에 10억 엔 미만의 입금이 여러 차례 기록됐다. 총 30억 엔에 이르는 금액이 복수의 계좌에 분할돼 옮겨지고 있었다.

요시카와 타카시 미쓰이물산시큐어디렉션 국장은 “단기에 자금을 이동시켜 수사 당국 등에 의한 추적을 피해 감지되지 않는 경로를 통해 현금화를 노린 것으로 보인다”고 설명했다.

채팅에 참가한 인원은 약 350명으로 발언 횟수가 1000회 넘는 사람은 35명에 불과했다. 인원의 3분의 2는 발언이 100번을 넘지 않았다. 이들의 구조는 일부 간부 멤버 아래 교섭, 홍보, 인사 등 필요한 분업이 갖춰진 형태이다. 실행 멤버인 수백명의 해커들은 긱워커처럼 교체돼 공격에 참여한다. 범죄인 줄도 모르고 해킹에 참여하는 경우도 있는 것으로 보인다.

닛케이는 대화 내용에 러시아 연방보안국(FSB)과의 관계성을 암시하는 대목도 있었다며 서방 제재로 러시아 경제가 어려워질 경우 콘티 활동이 늘어날 수 있다고 설명했다.

콘티는 전 세계에서 급속히 확산하고 있는 사이버 범죄의 빙산의 일각이다. 미국 사이버보안업체 소닉월에 따르면 2021년 전 세계에서 집계된 랜섬웨어 공격으로 약 6억2300만 건으로 2020년에 비해 2배 이상 늘었다.

콘티처럼 범죄 집단이 자본을 축적하면서 몸집을 키워나가고 있는 것으로 보인다고 닛케이는 분석했다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
많이 본 뉴스
뉴스발전소