Interview With a Russian Cybercriminal (Dark Reading, Kelly Sheridan, 2021.02.02.)
Cisco Talos 연구원 Williams는 트위터를 통해 러시아에서 활동하고 있는 한 사이버 범죄자 Aleks를 알게 되었고, 그와의 인터뷰를 통해 그동안 알지 못했던 공격자의 관점을 잘 이해하게 되었다고 한다.
Aleks는 대학 수준의 교육을 받은 30대 초반으로 추정되며, 본래 IT 기업에서 근무하였으나 갈수록 낮은 평가와 임금으로 인해 범죄에 손을 대게 되었고, 실제로 범죄를 통해 더 높은 수익을 벌어들이고 있다고 밝혔다. 그가 애용(?)하는 범죄 방식은 알려진 취약점들을 이용해 기업이나 기관에 랜섬웨어를 유포하는 것으로, 스스로 랜섬웨어를 만들 정도의 실력은 없으나 랜섬웨어 제작자와 결탁하여 범죄 수익을 나눠갖는 식의 RaaS(Ransomware as a Service)를 이용한다.
여기서 재밌는 점은 랜섬웨어를 고를 때 기대 수익과 더불어 수익 분배율을 고려한다는 점이다. RaaS의 고객인 공격자 입장에서는 당연히 기대 수익이 크면서 분배율 또한 많은 것을 원한다. 이것이 실제로 공격자들에게 인기 있는 랜섬웨어가 다른 랜섬웨어들에 비해 더 널리 퍼지는 이유라고 할 수 있다.
공격대상을 정할 때도 나름의 기준이 있다. Aleks는 공격대상이 비용을 지불하는 시기, 상황, 데이터 유형과 가치 등을 고려한다고 하는데 흥미로운 점은 보험 가입 유무도 고려한다는 것이다.
또한 유럽의 개인정보보호법인 GDPR도 Aleks의 고려 대상 중 하나였다. 그는 미국보다 유럽 지역을 공격하는 것이 더 낫다고 말하는데, 그 이유가 바로 GDPR에 있었다. 미국의 경우, 해킹 피해를 입으면 법률에 따라 해당 사실을 외부에 공개하여 이후 다른 곳을 공격하기 더 어렵게 하는 반면, 유럽에서는 오히려 GDPR로 인한 벌금이 부담스러워 조용히 비용만 지불하고 끝내고자 하는 곳이 상대적으로 더 많다고 한다. 이러한 관점은 직접 공격자가 되어보지 않고서는 미처 생각하기 어렵다.
Aleks는 최신 보안 뉴스와 지식에 민감하며, 새로운 취약점이 공개되면 기업과 기관에서 그것을 패치하기 전에 먼저 활용한다고 한다. 또한, 굳이 해킹 도구를 개발하지 않고 이미 널리 쓰이고 있는 도구들(Masscan, Shodan, Cobalt Strike, PowerShell, Mimikatz 등)을 사용한다고 한다. 직접 만드는 것보다 효율적이기 때문이다.
Williams는 이번 인터뷰를 통해 공격자의 인간적인 면을 보게 되었다고 말했다. 당연한 사실이지만, 우리의 정보보호를 위협하고 있는 공격자들도 결국은 우리와 똑같은 사람들이다. 하지만 어디까지나 그들은 범죄자라는 사실을 잊어서는 안 된다. 그들은 사이버 범죄 행위가 단순한 돈벌이일 뿐이고, 그래서 피해자들을 일종의 지갑으로만 취급할 뿐이다. 우리도 지갑 취급을 받지 않으려면 철저한 보안 의식으로 무장해야 할 것 같다.