민간 기업이나 공공 기관의 데이터를 인질삼아 몸값(ransom)을 요구하는 랜섬웨어(Ransomeware) 위협이 기승을 부리고 있다.
몸값 지급 방식으로 추적이 어려운 암호화폐를 요구하는 사례가 늘면서 범죄에 악용된 암호화폐 규모도 급증하고 있다.
2021년 암호화폐 '몸값' 무려, 900억 원
블록체인 데이터 추적·분석 업체 체이널리시스(Chainalysis)는 5월 14일 발간한 보고서를 통해 랜섬웨어 범죄가 점차 교묘해지고 있으며 사용된 암호화폐 자금도 증가하고 있다고 밝혔다.
보고서에 따르면 2021년 1월부터 5월까지 랜섬웨어 관련 주소로 흘러 들어간 암호화폐 자금은 최소 8155만 달러(약 924억 원)에 달한다.
랜섬웨어 관련 암호화폐 자금은 2020년 사상 최대 규모를 기록했다. 체인널시스는 2021년 2월 보고서에서 암호화폐 몸값이 전년대비 311% 증가한 3억 5000만 달러라고 보고했다. 하지만 다른 랜섬웨어 주소들이 추가적으로 발견되면서 피해 규모는 4억 600만 달러(4608억 원)까지 늘어났다.
체이널리시스는 관련 주소가 계속 발견되고 있고 일부 피해 기업들이 피해 사실을 공개하지 않기 때문에 실제 피해 수준은 추정치보다 훨씬 높을 것이라고 보고 있다.
랜섬웨어 범죄 관련 평균 지급 금액도 증가했다. 2019년 4분기 1만 2000달러에 불과했던 랜섬웨어 지급 금액은 2020년 4분기 4만 6000달러, 2021년 1분기에 평균 5만 4000달러까지 급등했다.
분기별 최대 지급액도 지난 2년 간 크게 올랐다. 2020년 1분기 이전에는 피해 금액이 600만 달러를 넘는 경우는 없었지만 그 이후에는 최소 1건씩 그 이상을 지급하는 사례가 나오고 있다.
전문화 공격에 피해 커져
체이널리시스는 서비스형 랜섬웨어(RaaS)의 확산 등 공격의 전문화, 외주화로 사이버 범죄가 더욱 범람하고 있다고 진단했다.
RaaS는 사이버 공격을 수행하는 데 필요한 인프라와 서비스를 제공하는 것을 말한다. 콜로니얼을 공격한 다크사이드도 표적 맞춤형 악성코드 제작, 랜섬웨어 유포 인프라 등을 제공하는 RaaS 조직으로 알려져있다. 인프라를 사용한 조직이 공격에 성공하면 탈취한 수익을 인프라 제공업체와 배분하게 된다.
고급 인프라, 해킹 툴, 사기 매장, 전문 협상 서비스 등 랜섬웨어 공격을 보조하는 외부 서비스 제공업체를 이용하면서 피해자에 요구하는 몸값도 크게 오른 것으로 풀이된다.
랜섬웨어 공격을 지원하는 외주 업체로 들어간 자금은 2020년 4분기 탈취 금액의 9%에 해당했다. 2020년 1분기 외부 불법 서비스로 보낸 자금 수준이 3%를 넘는 경우가 거의 없었다.
2020년 4분기 랜섬웨어 지급금의 75% 이상은 주요 암호화폐 거래소로 들어갔다.
최대 랜섬웨어 근거지는 '러시아'
러시아는 사이버 범죄, 특히 랜섬웨어 범죄 활동에서 많은 비중을 차지하고 있다.
랜섬웨어 변종들은 대부분 러시아와 관련돼 있으며 불법 주소에서 러시아계 서비스로 가장 많은 암호화폐 자금이 유입됐다. 러시아 기반 다크네 시장 '하이드라(Hydra)'는 랜섬웨어 공격에 유용한 불법 데이터 판매 활동 등을 주도한 것으로 나타났다.
러시아 정부와 관련된 것으로 알려진 이블코프(Evil Corp)는 2020년 전체 랜섬웨어 수익 중 86%, 2021년 92%를 차지하며 가장 많은 수익을 얻었다. 해당 랜섬웨어 변종은 러시아어를 사용하는 피해자를 피하도록 설계된 것으로 알려졌다.
미국 정부는 이미 러시아 사이버 범죄를 경계하고 러시아 조직 및 개인에 대한 추가 제재를 발표하고 있다.
5월 12일 콜로니얼 사고 이후 조 바이든 미국 대통령은 연방 정부 시스템의 사이버 보안을 강화하고 정부 기관과 대중에게 판매되는 상업용 소프트웨어에 대한 표준을 만들라는 행정명령에 서명했다.
앞서 2021년 5월 7일 미국 송유관 운영회사 콜로니얼 파이프라인(Colonial Pipeline)은 해커조직 다크사이드(DarkSide)로부터 랜섬웨어 공격을 받아 암호화폐로 500만 달러(약 56억 5000만 원)를 지불한 바 있다.
업계 "암호화폐 악용 비중 낮다"
암호화폐 업계는 암호화폐와 범죄와의 연관성이 과장된 것이라고 보고 있다. 암호화폐는 익명성을 갖지만 블록체인을 통한 추적이 용이하기 때문에 범죄에 적합하지 않다는 주장이다.
블록체인 데이터 분석 업체 엘립틱은 다크사이드가 콜로니얼에서 몸값을 받을 때 사용한 월렛을 파악한 상태다. 엘립틱 측은 "과거 공격을 통해 갈취한 자금을 어떻게 세탁했는지 정보를 얻을 수 있다"며 "배후를 찾아낼 가능성이 있다"고 설명했다.
미국 암호화폐 거래소 코인베이스는 "옐런이나 버핏처럼 암호화폐가 주로 불법 자금 조달에 활용될 것이라는 관점은 오류"라면서 "암호화폐가 불법에 활용되는 비율은 1% 미만이며 이마저도 돈세탁이나 테러자금조달이 아닌 사기와 연관돼 있다"고 강조했다.
마이클 모렐(Michael Morell) 전 미국 중앙정보국(CIA) 국장 대행은 "비트코인의 불법 활동 악용이 실제보다 과장됐다"는 사실을 인정한 바 있다.
전 세계 당국, 암호화폐 범죄에 '촉각'
하지만 국경과 업종을 가리지 않는 랜섬웨어 공격과 암호화폐 시장 활성화로 암호화폐의 범죄 연루 가능성이 점차 높아지고 있다. 이에 전 세계 당국은 대응 채비에 나섰다.
미국 재무부 산하 금융범죄단속네트워크(FinCEN, 핀센)는 체이널리시스 출신 기술 전문가를 기관 수장으로 임명하며 암호화폐에 대한 역량을 강화했다.
유럽 집행위원회는 2021년 4월 유럽연합 조직범죄 수사 보고서에서 "암호화폐 관련 온라인 조직범죄가 지속되고 있다"면서 "수사 과정에서 새로운 전략이 필요하다"고 진단한 바 있다.
우리나라 경찰청과 과학기술정보통신부도 암호화폐를 노린 계정 해킹, 악성프로그램 유포, 거래소 공격 등 관련 사이버 범죄에 대한 단속을 강화하고 있다.
랜섬웨어 범죄에 대한 대대적인 정부 대응과 암호화폐에 대한 명확한 규제 수립을 통해 암호화폐가 혁신적인 금융, 결제 수단이라는 제자리를 확보하게 될지 주목할 부분이다.