연방수사국(FBI)이 악명높은 국제 사이버범죄단 하이브(Hive)를 추적하면서 범인 체포를 포기하고 범인들보다 한발 앞서 나가며 범행으로 이익을 보지 못하도록 하는데 집중하고 있다고 정치전문매체 폴리티코(POLITICO)가 4일 보도했다.
대부분의 사이버범죄자들이 미국의 법률이 미치지 못하는 지역에서 활동하기 때문이다.
이와 관련 리사 모나코 법무부 차관은 지난 4월 “범죄 소추 성과만으로 성공 여부를 판단하지 않는다”고 강조했다.
하이브는 미국 학교와 기업체, 의료기관 네트워크를 마비시키고 복구 대가를 요구한 것으로 악명이 높다. FBI의 플로리다 지부 요원들은 지난해 7월 하이브 범죄자 네트워크를 해킹해 마비된 미 기관들의 네트워크를 복원할 수 있게 했다. 당시 FBI는 1억3000만 달러의 피해를 막을 수 있었다고 밝혔다.
그러나 FBI의 이같은 수사 방식은 하이브의 범죄를 발본색원하지 못하고 약화시키는 데 그친다는 한계가 있다. 사이버 범죄단을 해킹해 침투하는 데는 많은 시간과 노력이 들지만 계속 활동할 수 있는 범죄자들이 미 수사당국의 추적을 피해 다시 활동할 수 있는 것이다.
하이브가 FBI의 수사망에 포착된 것은 2021년 7월이다. 고도의 랜섬웨어 집단이 미국 가스 파이프라인과 육가공업체를 공격한 때다. 당시 존재가 알려지지 않은 하이브가 플로리다의 한 단체네트워크를 공격했다.
하이브가 미국을 상대로 감행한 최초의 범죄였기 때문에 이때부터 플로리다 FBI 지국이 하이브 관련 사건을 전담하게 됐다.
플로리다 지국 FBI 요원 저스틴 크렌쇼는 자신의 팀이 당시는 하이브에 대해 “아무 것도 모르는 상태에서” 대응에 나섰다고 밝혔다.
이후 18개월 동안 하이브는 전 세계적으로 1500 차례사이버 공격을 감행해 1억 달러 상당의 암호화폐를 뜯어냈다. 하이브는 매우 빠르게 확대되면서 다른 사이버 범죄자들이 터부시하던 병원과 의료보험사 공격까지 감행했다.
FBI 플로리다 지국은 하이브 피해자들을 일일이 면담해 정보를 수집했다. 이를 통해 하이브가 하나의 단체가 아니라 맥도널드 프랜차이즈에 가까운 형태임을 파악했다. 하이브는 주모자들이 다른 해킹과 침투에 능한 사이버 범죄자들에게 암호화된 랜섬웨어 공격 프로그램을 임대하는 서비스 모델의 형태로 운영됐다.
FBI 플로리다 지국은 하이브 추적에 나선 지 1년 뒤 돌파구를 찾아냈다. 하이브의 원격 관리 패널에 침투한 것이다. 보안이 철저한 이 패널은 랜섬웨어로 탈취한 병원, 학교, 중소 기업 네트워크의 데이터를 보관하는 센터로 운영됐다.
FBI는 이를 계기로 하이브의 공격이 실행되자마자 파악해 피해자들에게 네트워크를 복원할 수 있는 암호키를 지원할 수 있게 됐다.
이후 6개월 동안 FBI 플로리다 지국이 암호키를 지원한 피해자가 전 세계적으로 300곳이 넘는다. 덕분에 “하이브 고객지원센터”라는 별명까지 생겼다.
물론 하이브 조직이 궤멸되지는 않았다. 이 단체는 FBI가 침투한 지금 상태에서도 꾸준히 활동하고 있다.
하이브는 탈취금 지불을 거부한 피해자 명단을 다크웹에 올리고 있다. 지난해 8월 7곳, 9월 8곳, 10월과 11월, 12월에 각각 7곳, 9곳, 14곳 등이다.
피해자들은 암호키를 받은 뒤에도 네트워크 복원에 몇 주 이상 걸리며 비용도 막대하다. 특히 다시 피해를 당하지 않도록 대비하는 비용이 크다.
하이브는 자신들이 탈취한 민감한 정보를 인터넷에 공개하겠다고 협박해 돈을 뜯어내기도 하는데 FBI가 이를 차단하기까지 한층 더 오랜 시간이 걸렸다. 지금도 하이브 소속 범죄자가 이름을 바꿔 활동하기도 한다.
미 법무부는 지난달 하이브 소속으로 활동한 러시아인 미하일 마트베프를 기소했다. 여전히 수배상태인 그는 다른 랜섬웨어 범죄단에서도 활동하고 있다. 사이버범죄자들이 여러 범죄단을 오가면서 활동하고 있음을 보여주는 사례다. 하이브의 근거지는 러시아로 추정된다.
FBI는 사이버 범죄자들을 체포하기가 어려운 상황에서 지금의 방식이 충분히 효과가 있다고 보고 있다.
미 국가안보국(NSA) 사이버보안 책임자 롭 조이스는 FBI의 방식이 범죄자들 사이의 신뢰를 깨트리는 효과가 있다고 강조했다. “범죄자들이 누구를 믿어야할지 모르도록 만들어 활동을 느리게 만들고 범죄 대상과 규모를 축소하게 만든다”는 것이다.
FBI 플로리다 지국은 지난 1월 두 번째로 하이브 관련 중대 사안을 확인했다. 하이브의 활동을 영구적으로 억제할 수 있는 내용이다.
광범위한 추가 수사를 통해 하이브가 로스앤젤레스의 데이터 센터에서 공격에 사용되는 기본 서버를 임대하고 있음을 확인한 것이다. FBI는 2주 뒤 서버를 압수했다.
