‘랜섬웨어 공격’ 레빌 증발 시나리오

“러시아의 가장 공격적인 랜섬웨어 그룹이 사라졌다. 누가 그들을 무력화시켰는지 불분명하다.”

전 세계적으로 가장 악명 높은 해커집단인 레빌(REvil)이 갑자기 온라인에서 모습을 감췄다고 뉴욕타임스(NYT)가 13일(현지시간) 보도했다.

●바이든 엄포 뒤 몸값 요구도 홈피도 중단

레빌은 ‘랜섬웨어+악마(Evil)’를 합성한 것으로 2019년 출현 이래 지난해까지만 해도 최소한 140개의 기업 등을 공격한 것으로 IBM은 추정했다. 법률, 회계 등 전문 서비스 영역부터 도매, 제조까지 분야를 가리지 않았다. 연간 매출을 기준으로 최대 9%까지 몸값을 요구해 피해 기업의 3분의1은 대가를 지불했고, 3분의1은 데이터를 강취당했다.

이런 레빌이 이날 새벽부터 인터넷에서 활동을 중단했다. 랜섬웨어 공격의 장본인이라고 자랑하던 다크웹의 홈페이지도 사라졌다. 전산망 정상화를 대가로 금품을 요구하는 협상도 중단됐다.

NYT는 3가지 시나리오를 제시했다. 조 바이든 미국 대통령이 러시아를 레빌의 배후로 지목한 뒤 지난주 블라디미르 푸틴 러시아 대통령에게 랜섬웨어 공격에 대한 최후통첩을 전달한 직후 사라진 점을 들어 푸틴 대통령이 영향력을 행사했을 가능성이다. 이 문제는 바이든 취임 후 지난달 스위스 제네바에서 열린 첫 미러 정상회담에서도 주요 의제였다.

●NYT, 미러 합의·美 제재·셀프 휴식설 제시

두 번째는 미국 정부가 레빌에 대해 직접 제재를 가했을 가능성이다. 미국 사이버 사령부(USCC)는 지난해 선거에서 유권자 등록이나 다른 선거 데이터를 동결하겠다고 협박한 랜섬웨어 그룹을 무력화시킴으로써 역량을 입증했다고 한다.

바이든 대통령은 당시 전화 통화 직후 “그들이 행동할 것으로 기대한다”고 말했고, ‘행동하지 않는다면 그들의 서버를 다운시킬 것’이냐는 기자의 질문에 대통령은 “그렇다”고 답했다.

마지막으로 레빌이 스스로 활동을 중단했을 수도 있다. 자신들에 대한 관심이 과도하다고 판단해 당분간 휴지기를 택했을 가능성이다. “그러나 어떤 경우라도 그들이 승리를 챙겨 사라지도록 내버려 둔다면, 가장 큰 피해는 암호화 키를 얻지 못해 데이터가 영원히 잠기게 되는 기업들이 보게 될 것”이라고 NYT는 지적했다.