▲ 종이신문보기

＂침공 찬성＂ ＂반대＂ 내부분열

세계 최대 해킹 조직으로 알려진 '콘티(Conti)'의 정체가 러시아의 우크라이나 침공 여파로 드러났다. 친(親)러시아 성향 해커 조직으로 보이는 콘티는 지난 1년 6개월간 해킹으로 얻은 수입이 확인된 것만 1000억원 이상일 정도로 거대한 조직인데, 이런 S급(최상급) 해킹 조직의 실체가 드러나긴 이번이 처음이다. 콘티는 주요 멤버가 러시아어를 쓰고 거점을 러시아 상트페테르부르크에 둔 것으로 알려졌다.

콘티의 내부 정보가 유출된 건 우크라이나 전쟁을 둘러싼 내분 탓이다. 콘티는 러시아 침공 직후인 지난 2월 러시아 지지 성명을 냈는데, 멤버 가운데 우크라이나를 지지하는 조직원들이 집단 반발했고 이 과정에서 조직원 간 대화 내용이 유출됐다. 유출 자료는 2020년 6월~2022년 3월 러시아어로 쓴 약 17만건, 총 700만자(字) 분량의 대화다.

16일 일본 니혼게이자이신문(닛케이)이 보안 회사 미쓰이물산시큐어디렉션과 유출된 전체 데이터를 분석, 조직 구성과 돈세탁, 채용 방식 등 콘티의 전모를 공개했다. 콘티는 기업의 전산망에 침투, 기밀을 탈취하거나 시스템 자체를 마비시킨 뒤, 시스템 복구나 기밀 파기 조건으로 돈을 요구했다. 정보 당국에 신고하면 가차 없이 기밀을 외부 공개하고 시스템을 파괴했다. 미국 정부는 최근 이 조직 검거에 현상금을 최고 1000만달러(약 130억원) 걸기도 했다.

콘티의 조직원은 최소 350명으로 추산된다. 유출된 대화에 등장하는 인물이 이 정도였다. 조직 총괄은 스턴(Stern)이란 인물로, 조직원들에게 1만회 이상 지시를 내렸다. 30여 명이 관리자 역할을 하는 것으로 추정된다. 돈세탁을 위해 암호화폐 수백 계좌에서 비트코인 수천 개를 주고받으면서 당국의 추적을 봉쇄했다. 콘티는 1년 6개월 동안 전 세계 기업에서 비트코인 2321개(올 3월 기준 약 1160억원)를 받아 645계좌에서 주고받기를 거듭했다.

닛케이는 "콘티는 주식회사처럼 대표이사 역할과 인사·교육·홍보, 신규 사업 같은 조직 분업화가 이뤄졌다"며 "공격도 단순 해킹 수준이 아닌, 실행·개발·조사·해석부가 분업하는, 말 그대로 기업 같은 곳"이라고 보도했다. 예컨대 조사부는 공격할 기업을 물색하고 실행부는 침투를 감행한다. 이때 개발부는 해킹 공격 도구를 개발해 실행부를 돕고, 해석부는 다른 해킹 조직의 악성코드를 분석해 개발부가 더 좋은 해킹 도구를 만들도록 지원하는 식이다.

실행부가 기업 전산망을 뚫으면 교섭·홍보팀이 나서서 해당 기업에 협박 메일을 보낸다. 예컨대 올 1월 대만의 제조사인 델타를 해킹해 서버 1500대와 컴퓨터 1만2000대를 장악한 뒤 몸값 1500만달러를 요청했다. "즉시 돈을 지불하면 할인해 주겠다"며 협상을 시도했다.

조직 확대를 위한 인재 관리 매뉴얼도 있다. 채용 땐 '18~25세, 일은 완전 자택 근무, 토·일은 휴무, 유급 휴가 있음'과 같은 조건을 내건다. 급여는 월 2000달러 정도로, 철저한 능력제이며 프로젝트 단위 참여도 가능하다. 콘티의 매뉴얼엔 "관리자가 직원에게 강압적이어선 안 되고 '좋은 성과에 감사한다'는 친절한 언어로 직원의 자존감을 높여야 한다"는 내용도 있다. 니혼게이자이신문은 "조직원 가운데는 범죄인 줄도 모르고 해킹에 참여하는 사례도 있는 것으로 보인다"며 "대화 내용엔 콘티와 러시아연방안보국(FSB) 간 연계를 암시하는 대목도 있다"고 보도했다. 이 신문은 암시 내용을 공개하지는 않았다. 하지만 미국 보안업계에선 "콘티가 무차별 공격하면서도 러시아 기업을 공격한 사례는 거의 찾기 어려운데 러시아 당국과 협력한다는 방증"이라는 시각이 우세하다.

대다수 기업들은 콘티에서 '블랙메일'을 받으면 쉬쉬하고 돈을 지불하기 일쑤다. 싱가포르의 다크트레이스가 지난 2020년 이후 공개된 해킹 피해 기업 수를 집계한 결과, 콘티는 무려 824곳을 공격해 2위 록비트(691곳)나 3위 피사(308곳)보다 많았다. 전문가들은 "해킹 사례가 공개되는 건 극소수에 불과해 이런 수치는 빙산의 일각"이라고 말한다. 미국 보안 회사 소닉월은 작년 해킹 피해는 실제론 약 6억2300만건에 이른다고 추정했다. 웬만한 기업은 모두 랜섬웨어의 표적이란 뜻이다. 실제로 최근 일본 도요타자동차가 공급망에 사이버 공격을 받아 운영을 일시 중지했고, 국내에서도 SK하이닉스와 LG전자가 랜섬웨어 공격을 당한 사실이 공개되기도 했다.

[그래픽] 콘티의 조직도 기고자 : 도쿄=성호철 특파원
본문자수 : 2204
표/그림/사진 유무 : 있음
웹편집 : 보기