지난 주말 경에 미국 핵 무기 개발 업체인 솔 오리엔스가 랜섬웨어 공격에 당했다고 발표했다. 그나마도 한 보안 업체가 이들의 정보를 다크웹에서 먼저 발견한 후 부랴부랴 한 것이었다. 심지어 회사 측은 5월에 이미 공격이 들어왔음을 탐지한 상태였다고 한다. 하지만 아직 피해 규모도, 공격자의 동기도 확실히 알 수 없는 상황이다.

미국 에너지부의 하도급 업체인 솔 오리엔스(Sol Oriens)가 지난 달 랜섬웨어 공격에 노출되었다고 발표했다. 솔 오리엔스는 미국 에너지부 핵안보실과 함께 핵 무기 개발을 담당하는 업체이기도 하다. 지난 달의 랜섬웨어 공격은 레빌(REvil)이라는 랜섬웨어 운영자들의 소행이라고 분석된 상태다.

이 공격 때문에 솔 오리엔스의 공식 웹사이트는 6월 3일부터 닫힌 상태다. 하지만 각종 언론과의 인터뷰를 통해 솔 오리엔스는 랜섬웨어 공격자들의 위협 행위를 5월부터 파악했다고 밝히고 있다. 공격자들은 내부 문건 일부에 접근한 것으로 보이며, 현재도 사건의 정확한 규모를 파악하기 위한 조사를 진행 중에 있다고 한다. 아직까지는 보안이나 개인에게 민감할 수 있는 정보가 새나간 것으로 보이지는 않는다고 하며, 이번 사건에 영향을 받은 개개인에게는 조사가 완료되는 대로 알리겠다고 한 상황이다.

이러한 사실이 공개된 것은 보안 업체 엠시소프트(Emsisoft)의 랜섬웨어 전문가인 브렛 캘로우(Brett Callow)가 다크웹의 레빌 전용 블로그에서 솔 오리엔스의 정보가 일부 공개된 것을 발견했기 때문이다. 이 문건들은 일부 직원들의 급여 명세서와 직원 훈련을 위한 메모로 실제 솔 오리엔스에서 나온 것이 맞는 것으로 보인다. 에너지부의 공식 로고가 찍혀 있는 문건들도 포함되어 있다.

레빌이 더 민감하고 치명적인 내용이 담긴 문건을 가지고 있는지는 아직 더 지켜봐야 알 수 있다. 하지만 그런 사실이 명백하게 드러나기 전까지는 안심해도 되는 것은 아니다. 왜냐하면 미국이라는 국가의 핵 시스템에 깊이 관여하고 있는 업체가 표적 공격으로 해킹을 당했다는 것 자체가 큰 문제이기 때문이다. 미국을 노리는 공격자들이 언제나 사회의 중요한 기반이 되는 시설로 침투할 수 있다는 것은 최근 들어서만 벌써 4번째 입증되고 있다는 것도(솔라윈즈, 콜로니얼 파이프라인, JBS 푸즈) 우려의 여론을 가중시키고 있다.

한편 레빌은 이 사건이 일어난 것이 솔 오리엔스의 잘못이라고 주장하고 나섰다. 다크웹의 블로그를 통해 이들은 정부 하도급 업체라면 마땅히 취했어야 할 보안 조치 사항들이 느슨하게 유지되고 있었다고 하며 개인정보와 소프트웨어 개발 정보를 보호하기 위한 노력이 소홀했다고 주장했다. 그러면서 자신들이 보유한 모든 문건들을 자신들이 원하는 군사 기관에 전송할 것이라고 예고하기도 했다.

레빌은 최근 들어 가장 활발하게 활동하고 있는 랜섬웨어 공격 단체 중 하나다. 최근에는 세계 최대의 가공 육류 식품 유통 업체인 JBS 푸즈(JBS Foods)를 공격해 1100만 달러의 돈을 뜯어내는 데 성공하기도 했다. JBS 푸즈는 레빌의 공격으로 세계 곳곳의 생산 시설 및 각종 영업 활동을 실시할 수 없었다고 한다. 4월에는 애플의 신제품 발표 수시간 전에 애플을 공격해 5천만 달러를 요구하기도 했었다. 참고로 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 사건을 일으킨 것은 다크사이드(DarkSide)라는 이름의 러시아 범죄 단체였고, 솔라윈즈(SolarWinds) 공급망 공격 사건을 일으킨 것도 러시아로 공식 분석됐다.

그러나 러시아 정부가 이런 일련의 공격의 배후에 있을 가능성은 아직 가늠하기조차 힘든 상황이다. 최근 벌어진 네 가지 사건 중 오로지 솔라윈즈 사태만이 러시아 정부의 입김이 닿아 있던 것이라고 결론이 난 상태다. 그러나 나머지 공격들도 러시아인으로 구성된 사이버 범죄단의 소행이므로 백악관은 러시아 정부에 “사이버 범죄자를 방조하는 것도 정부의 잘못”이라고 발언한 바 있다.

러시아 정부가 개입했을 수도 있고 없을 수도 있지만, 가능성을 점치는 것조차 어려운 이유는 랜섬웨어 산업이 ‘서비스형 랜섬웨어(RaaS)’ 형태로 자리를 잡았기 때문이다. 즉 돈만 내면 누구나 랜섬웨어라는 도구를 대여해 사용할 수 있다는 뜻이다. 랜섬웨어를 최초에 개발하고 퍼트린 조직과, 이를 사용하는 조직 간에 철학이나 공격 방향성이 얼마든지 달라질 수 있다는 것이고 따라서 특정 랜섬웨어의 공격 표적과 방식에서 일관성을 찾기 힘들다. 그래서 범죄자 추적과 지명이 혼란스러워지고 있다. 이 현상을 이용해 국가 기관이나 군 부대의 요원들이 은근슬쩍 끼어들어 범죄자를 위장해 국가적 차원의 사이버 전략을 수행할 수도 있다.

실제로 콜로니얼 파이프라인을 공격한 랜섬웨어 단체인 다크사이드는 지속적으로 “사회 혼란을 야기하고 싶지 않고, 정치적 목적을 달성하려는 야심도 없다”는 노선을 밟아오던 자들로, 파이프라인이라는 사회 기반 시설이 마비된 것에 스스로도 적잖이 당황한 모습을 보이기도 했다. 콜로니얼 파이프라인 사건은 다크사이드가 예상치 못한, 특정 파트너 단체의 ‘일탈’인 것으로 분석되고 있다. 그러자 타 RaaS 사업자들이 파트너사를 보다 엄격하게 관리하겠다고 선언했다.

3줄 요약
1. 미국의 핵 무기 관련 정부 하청 업체가 랜섬웨어 공격에 당함.
2. 이 때문에 일부 내부 정보가 다크웹에 공개된 상황.
3. 공격자는 러시아의 랜섬웨어 단체인 레빌로 보임.