해커 조직 폐쇄한 美 법무부…구글 "타격 있겠지만 유사 그룹 나올 것"

[이데일리 함정선 기자] 미국 법무부가 전 세계 80여 개국의 병원과 학교, 금융기관 등을 대상으로 랜섬웨어 공격을 펼쳐 막대한 돈을 갈취한 해킹 네트워크 ‘하이브(Hive)’를 폐쇄했다고 발표한 것과 관련, 하이브에는 타격이 있겠지만 유사한 경쟁사들이 서비스 제공이 있으리라는 의견이 나왔다.

구글의 클라우드 맨디언트 위협 인텔리전스 총괄인 존 헐트퀴스트(John Hultquist)는 27일 성명을 통해 “하이브 네트워크의 폐쇄가 전반적인 랜섬웨어 공격을 현저하게 감소시키지는 않겠지만, 의료 시스템을 공격해 생명을 위험에 빠뜨리기도 했던 하이브에는 분명한 타격이었을 것”이라며 “안타깝게도 랜섬웨어 문제의 중심에 있는 범죄 시장은 하이브의 경쟁사들이 하이브 폐쇄 이후에도 이를 대신해 유사한 서비스를 제공할 것”이라고 밝혔다.

다만 헐트퀴스트 총괄은 “하지만 이들도 이번 미 법무부의 발표 이후 자신들의 랜섬웨어가 병원을 타깃으로 하는 공격에 사용되는 데 있어 전보다 신중을 기할 것으로 예측된다”며 “하이브는 그룹을 재형성하고 툴을 새롭게 개발하며 리브랜딩을 거쳐야 할 수도 있다”고 분석했다.

헐트퀴스트 총괄은 현실적으로 이들 해킹 네트워크에 대한 체포가 불가능하다면 전술적인 해결책과 더 철저한 방어책 마련에 집중할 필요가 있다고 조언하기도 했다.

그는 “해커 집단의 피난처가 되고 있는 러시아와 끈질기도록 탄력적인 사이버 범죄 시장을 해결할 수 있을 때까지는 이것이 우리의 초점이 되어야 할 것”이라고 강조했다.

이와 함께 구글 클라우드 맨디언트 수석 매니저 킴벌리 구디(Kimberly Goody)는 “지난해 하이브는 맨디언트가 직접 관찰한 사고 대응 작업에서 가장 많이 확산한 랜섬웨어 계열로, 맨디언트가 대응한 랜섬웨어 침투의 15% 이상을 차지했다”며 “이 랜섬웨어 공격의 배후에 있는 공격자들은 2022년 중반부터 러스트(Rust)로 랜섬웨어를 재작성하며 지속적으로 개발을 이어 나갔고, 이 과정은 분석을 방해하고 탐지를 회피하기 위해 진행된 것으로 추측된다”고 설명했다.

하이브 랜섬웨어의 등장 이후 여러 공격자가 해당 랜섬웨어를 사용했지만, 맨디언트 데이터에 의하면 지난 1년 동안 이를 가장 많이 사용한 그룹은 ‘UNC2727’인 것으로 나타났으며 이들은 주로 병원 등 의료 분야를 겨냥해왔다.

구디 매니저는 “하이브가 UNC2727 툴킷의 유일한 랜섬웨어는 아니었다”며 “맨디언트는 과거 이들이 콘티(CONTI)와 마운트락커(MOUNTLOCKER)를 포함한 다른 랜섬웨어를 사용하는 것도 확인한 바 있고 이는 몇몇 공격자들이 광범위한 랜섬웨어 생태계 내에서 다른 브랜드로 쉽게 전환할 수 있는 관계를 이미 형성했음을 보여주는 사례”라고 설명했다.