美 법무부, 국제공조로 블랙슈트 랜섬웨어 서버 9곳·도메인 4곳 차단

미국 법무부가 의료·정부·제조업 등 핵심 인프라를 공격해온 블랙슈트 랜섬웨어 그룹의 서버와 도메인을 폐쇄하고 100만 달러 규모의 암호화폐를 압수했다고 지난 11일(현지 시각) 발표했다고 크립토뉴스가 지난 14일 보도했다.

법무부에 따르면 지난달 24일 실시한 '체크메이트 작전'에서 미국 내 4개 기관과 영국·독일·아일랜드·프랑스·캐나다·우크라이나·리투아니아 등 7개국 국제 법집행기관이 공조해 블랙슈트 그룹의 서버 9곳·도메인 4곳을 폐쇄했다.

버지니아 동부지방법원의 에릭 시버트 연방검사는 "랜섬웨어와 기타 사이버 위협 행위자들로부터 미국 기업과 핵심 인프라, 피해자들을 보호하는 데 있어 우리는 어떤 타협도 하지 않을 것"이라고 밝혔다.


블랙슈트 그룹은 2022년부터 활동을 시작해 미국 내에서만 450개 이상의 조직을 공격 대상으로 삼았으며, 의료·교육·공공안전·에너지·정부 부문에 집중 공격을 가해왔다. 이 그룹은 이전 명칭인 로열 랜섬웨어 그룹과 합쳐 총 3억7000만 달러(약 5140억 원) 이상의 몸값을 받아낸 것으로 파악됐다.
미국 사이버보안 인프라보안청(CISA)에 따르면 블랙슈트는 총 5억 달러(약 6940억 원) 이상의 몸값을 요구했으며, 개별 몸값 요구액이 6000만 달러(약 830억 원)에 이르는 경우도 있었다. 일반적으로는 건당 100만~1000만 달러(약 13억~138억 원) 범위에서 비트코인으로 몸값을 요구했다.

사이버보안업체 비트디펜더에 따르면 블랙슈트는 2023년 여름 등장한 이후 185곳 이상의 피해자를 기록했으며, 개별 몸값 지불액이 200만 달러(약 27억7000만 원)를 넘는 경우도 있었다. 특히 이 그룹은 피해자가 몸값을 지불한 후에도 데이터를 유출하는 사례가 확인돼 신뢰성 문제도 드러났다.

법집행기관들은 지난 6월 21일 몰웨어 사건과 관련해 109만1453달러(약 15억1600만 원) 상당의 암호화폐를 압수했다고 발표했다. 이는 2023년 4월 4일 한 피해자가 지불한 몸값 49.31비트코인(당시 약 144만5455달러, 약 20억 원 상당) 중 일부로, 수사기관이 암호화폐 거래소와 협력해 지난해 1월 계좌를 동결한 뒤 회수한 것으로 확인됐다.


한편 북한의 사이버 범죄 조직인 라자루스 그룹이 암호화폐 절도를 통해 대량살상무기 개발 자금을 조달하고 있다는 사실도 재확인됐다. 유엔 전문가 패널이 작년 발표한 보고서에 따르면 북한이 대량살상무기 프로그램 자금의 40%를 '불법적인 사이버 수단'을 통해 조달하고 있는 것으로 나타났다.

라자루스 그룹은 2024년 현재까지 전 세계적으로 30억 달러(약 4조1600억 원) 이상의 디지털 자산을 훔친 것으로 추정된다. 작년에만 47건의 침해 사건을 통해 13억4000만 달러(약 1조8600억 원)를 절도했으며, 이는 2023년 6억6050만 달러(약 9100억 원)의 2배 이상에 해당한다.

최근 보도에 따르면 미 연방수사국은 작년 12월 일본 암호화폐 거래소 DMM에서 발생한 3억800만 달러(약 4200억 원) 규모의 암호화폐 절도 사건을 라자루스 그룹의 소행으로 공식 확인했다. 또한 올해 2월에는 세계 2위 암호화폐 거래소인 바이비트에서 15억 달러(약 2조 원)를 훔쳐 역대 최대 규모의 단일 암호화폐 절도 사건을 일으켰다.

국제 법집행기관들의 이번 블랙슈트 척결 작전은 사이버 범죄 조직에 강력한 대응 의지를 보여주는 사례로 평가되지만, 전문가들은 이들 조직이 새로운 이름으로 활동을 재개할 가능성이 높다고 경고하고 있다. 실제로 블랙슈트 조직원들이 '카오스 랜섬웨어'라는 새로운 이름으로 활동을 시작한 정황이 포착되고 있다.


박정한 글로벌이코노믹 기자 park@g-enews.com