러시아와 연계된 해킹그룹 레빌(REvil)이 미국 정보기술(IT) 및 보안 관리 서비스업체인 카세야를 통해 주요 기업에 랜섬웨어 공격을 벌였다고 3일(현지 시간) 월스트리트저널(WSJ)이 보도했다. 레빌도 러시아와 연계된 것으로 추정된다. 카세야는 대기업이나 기술서비스 제공 업체들이 컴퓨터 네트워크 시스템의 소프트웨어 업데이트를 관리하고 진행할 수 있도록 도와주는 업체다. 해킹 그룹들이 글로벌 공급망을 때리는 데 열중하고 있음이 다시 한번 확인된 셈이다. WSJ도 “소프트웨어 제조업체나 서비스 공급업체를 통해 공격대상을 찾아 피해를 주는 것이라 실질적으로 공급망에 타격을 입히게 된다"고 봤다.
실제로 미 연방수사국(FBI)과 사이버안보·기간시설안보국(CISA)은 최근 보고서에서 해킹 그룹들이 사회 기반 시설을 주 공격 대상으로 삼고 있다고 밝혔다. 올 초 브라질 국영 전력 회사인 엘레트로브라스가 러시아와 연계된 해킹 그룹인 다크사이드의 공격을 받은 것을 비롯해 서구권 배터리·기계·유통·엔지니어링·화학 기업들도 피해를 봤다. 다크사이드는 주로 영어권 서방 국가들의 80개 이상 기업을 상대로 랜섬웨어 공격을 가했는데 피해 기업에 적게는 20만, 많게는 2,000만 달러어치의 암호화폐를 요구하는 것으로 알려졌다.
최근 미 송유관과 일본의 도시바 등을 공격해 유명해진 다크사이드의 경우 이른바 해킹 기술을 팔아 수수료 챙기는 사업 모델을 갖고 있다. 한 마디로 비즈니스형 악당이다. 최근 소프트웨어 업계에서 소프트웨어를 직접 구매하지 않아도 판매 기업이 운영·관리해주는 서비스형 소프트웨어(SaaS) 모델이 대세로 떠올랐는데 해커 집단들이 여기에 랜섬웨어를 접목해 사업 모델화한 것이다. 악성코드를 만들 줄 모르더라도 다크사이드와 RaaS 계약을 맺으면 누구든지 전문 해커처럼 활동할 수 있다.
랜섬웨어 제작사는 일정 수수료를 받아 수익을 낸다. 블룸버그는 “다크사이드가 RaaS 모델을 고리로 삼아 프랜차이즈로 운영되고 있다”고 분석했다. 실제 다크사이드의 소행으로 알려진 사이버 공격도 다크사이드가 직접 나선 것인지, ‘점조직’에 해당하는 다른 해커가 한 것인지조차 불분명한 상황이다.
이번 카세야를 비롯해 일련의 해킹 사건으로 미 정보 당국은 이들의 ‘배후’에 러시아가 있다고 강하게 의심하는 상황이다. 사건 해결 과정에서 미국과 러시아와의 갈등이 불거질 수 있다는 뜻이다.
앞서 조 바이든 대통령은 지난 5월 사이버 안보 기준을 높이는 내용의 행정명령에 서명했다. 특히 이번 행정명령의 대상에 연방 정부기관뿐 아니라 국가의 주요 기반 시설을 관리하는 민간 분야가 포함된 것은 눈여겨봐야 할 부분이다. 미국은 전기·수도·가스 등 주요 사회 인프라망을 민간 기업이 운영하고 있다. 이번 해킹 사례처럼 해커가 작정하고 공급망을 공격할 경우 피해가 걷잡을 수 없이 커질 것으로 우려된다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
mryesandno@sedaily.com
