□ 개요

최근 전 세계에서 가장 위협적인 사이버 범죄 조직 중 두 곳인 Evil Corp와 LockBit에 대한 국제적 제재와 법적 조치가 연이어 이루어지고 있다. 이들 조직은 수년간 수억 달러의 금전을 갈취하고, 전 세계의 주요 인프라 및 기업을 공격해 막대한 피해를 입혀왔다. 이번 작전은 영국 국가범죄청(NCA)이 주도한 '크로노스 작전'의 일환으로, Evil Corp와 LockBit에 연관된 주요 인물 16명의 신상 공개 및 기소에 관한 내용을 트위터, 정보기관 홈페이지 그리고 크로노스 작전으로 확보한 LockBit 다크웹 사이트 등의 경로를 통해 발표하였다. LockBit 다크웹 사이트는 10월 7일 경(한국 시간) 다시 폐쇄될 예정이다.

• Evil Corp: 국제적 제재 및 주요 인물 기소

Evil Corp는 지난 10여 년간 전 세계적으로 금융기관과 대기업을 공격해온 악명 높은 사이버 범죄 조직이다. 2019년 미국은 Evil Corp의 주요 인물인 Maksim Yakubets와 그의 조직원들을 처음으로 기소하고 제재를 가했으며, 이로 인해 조직의 활동에 큰 타격을 입혔다. 그러나 Evil Corp는 랜섬웨어 변종을 사용해 제재를 회피하면서 활동을 계속 이어갔다.

2024년 10월, 미국 재무부 산하 해외 자산 통제국(OFAC)은 Evil Corp와 연관된 인물과 법인을 제재 명단에 추가했다. 제재된 인물에는 Yakubets의 장인 Eduard Benderskiy와 아버지 Viktor Yakubets가 포함되어 있으며, 이들은 러시아 정보기관과의 관계를 통해 Evil Corp의 활동을 보호하고 지원한 것으로 알려져 있다.

Evil Corp 연관 인물 [출처 : NCA]

특히 Aleksandr Ryzhenkov라는 인물이 BitPaymer 랜섬웨어를 이용한 공격 혐의로 미국 법무부에 의해 기소되었다. 그는 미국 내 다수의 기업을 공격한 혐의를 받고 있으며, 크로노스 작전의 수사 과정에서 Evil Corp와 LockBit 사이의 연관성이 밝혀졌다. Ryzhenkov은 LockBit의 일부 랜섬웨어 공격에 참여한 것으로도 확인되었다.

Ryzhenkov 수배서 [출처 : DOJ]

• LockBit: 전 세계적 체포 작전과 기반 시설 압수

LockBit은 2019년부터 활동해 온 랜섬웨어 조직으로, 랜섬웨어 서비스 모델(RaaS)을 기반으로 다양한 계열사와 협력해 수천 건의 사이버 공격을 자행해왔다. LockBit은 특히 금융, 제조, 의료, 정부 기관 등 핵심 인프라를 타깃으로 해왔으며, 2021년부터 2023년까지 가장 많이 사용된 랜섬웨어 변종 중 하나였다.

2024년 8월, 프랑스 당국의 요청으로 LockBit의 개발자로 의심되는 인물이 체포되었고, 영국에서는 LockBit 활동을 지원한 두 명의 인물이 추가로 체포되었다. 스페인 당국은 마드리드 공항에서 LockBit 인프라를 운영하던 호스팅 서비스 관리자도 체포했다. 이 작전은 12개국이 협력하여 진행한 것으로, 유로폴과 유로저스트의 지원을 받아 LockBit의 주요 인프라 서버를 압수하고 조직의 활동을 방해하는 데 성공했다.

• 랜섬웨어 공격과 국제적 대응

LockBit과 Evil Corp는 서로 다른 조직이지만, 수사 과정에서 두 조직 사이의 일부 연관성이 드러났다. Evil Corp는 미국과 영국의 제재를 회피하기 위해 LockBit 랜섬웨어를 사용한 것으로 확인되었다.

이번 제재와 체포 작전은 사이버 범죄 조직에 대한 전 세계적인 대응의 일환이다. 영국 국가범죄청(NCA)은 "랜섬웨어는 전 세계가 직면한 가장 심각한 사이버 범죄 위협입니다. NCA는 영국 및 국제 파트너와 협력하여 정보를 공유하고 랜섬웨어 그룹이 어디에 있든, 시간이 얼마나 걸리든 이를 차단하기 위해 최선을 다하고 있습니다."라고 밝혔다.

또한 미국 법무부와 재무부는 Evil Corp와 연관된 조직에 의해 랜섬웨어 피해를 입은 기관들이 이들 조직에 대해 몸값을 지불할 경우, 미국의 제재 위반으로 간주될 수 있음을 경고했다.

• Operation Cronos의 성공과 향후 과제

Operation Cronos는 Evil Corp와 LockBit을 대상으로 한 국제적 체포 및 제재 작전으로, 그동안 많은 성공을 거두며 랜섬웨어 조직들의 활동에 큰 타격을 입혔다. 해당 작전으로 총 34개의 서버를 압수하였으며, 2,500개 이상의 복호화 키가 확보되어 피해자들이 데이터를 복구할 수 있도록 했다.

랜섬웨어 공격의 피해를 줄이기 위한 국제적 협력도 강화되고 있다. 'No More Ransom' 프로젝트는 다양한 랜섬웨어 변종에 대한 복호화 도구를 제공하고 있으며, 전 세계 6백만 명 이상의 피해자들이 혜택을 받았다.

랜섬웨어는 여전히 전 세계에서 가장 큰 사이버 범죄 위협으로 자리하고 있다. 그러나 이번 체포 및 제재를 통해 Evil Corp와 LockBit의 활동에 큰 타격을 입히며, 국제 사회가 협력해 사이버 범죄 조직들을 저지할 수 있다는 것을 증명했다. 앞으로도 이러한 국제적 협력이 더욱 강화되어야 할 것이다.

보안관제센터 MIR Team