세계 최대 랜섬웨어 조직 '락빗', 11개국 수사에 '덜미'
전세계 기업에 막대한 피해를 끼친 세계 최대 랜섬웨어 조직 락빗(LockBit)이 국제 공조수사를 통해 주요 인프라가 압수되고 운영이 중단됐다. 20일(현지시간) 테크크런치 등 외신에 따르면 영국 국립범죄수사국(NCA)은 '크로노스 작전' 결과를 발표했다. 크로노스 작전은 NCA 주도로 락빗의 활동을 저지하기 위한 국제 공조 프로젝트다. 연방수사국(FBI) 외에도 호주, 캐나다, 프랑스, 핀란드, 독일, 네덜란드 등의 총 11개국의 수사조직이 참여했다. 유로폴에 따르면 이번 작전을 통해 락빗이 랜섬웨어 공격을 위해 사용해 온 기본 플랫폼과 중요 인프라를 중단시키거나 압수했다. 그들이 사용한 것으로 확인된 미국, 영국 등 34개 국가에 걸쳐 나눠져 있던 서버를 차단했으며, 피해자로부터 훔친 데이터와 이를 호스팅했던 다크웹의 유출 사이트를 압수했다. 해당 조직과 관련된 200개 이상의 암호화폐 계정도 동결했으며, 폴란드와 우크라이나에서 락빗 조직원 2명도 체포했다. 프랑스와 미국 수사조직은 측은 이들에게 3건의 국제 체포 영장과 5건의 기소장을 발부했다. 특히, 압수한 데이터를 조사하는 과정에서 1천여 개 이상의 암호 해독키를 발견한 것으로 확인됐다. 해독키는 피해 기업의 암호화된 파일 복구에 사용되는 만큼 별도 포털을 통해 공개할 예정이다. 유로폴은 이 밖에도 수사 과정에서 방대한 양의 데이터를 확보했다며 이를 범죄 활동과 관련된 국제 작전 활동에 지원할 것이라고 밝혔다. 보안 전문가들은 이번 공격이 락빗에 상당한 타격을 줬을 것으로 분석했다. 러시아 기반 범죄조직으로 알려진 만큼 락빗의 운영을 담당하는 락빗섭(LockBitSupp) 등 주요 조직원 등을 체포하기 어렵지만 글로벌 공격을 가하기 위한 주요 인프라가 무력화된 것으로 보이기 때문이다. 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로 기업의 시스템에 침투해 주요 기능이나 데이터를 암호화해 사용할 수 없도록 만든 후 이를 풀어주는 조건으로 금전을 요구하는 사이버공격 방식을 말한다. 락빗은 전 세계적으로 가장 악명 높은 랜섬웨어 조직으로 보잉, TSMC 등 글로벌 대기업들도 이들의 공격에 피해를 받았다. 국내 기업 역시 업무 관련 문서, 데이터베이스 관련 파일 등이 이들로 인해 공개된 바 있다.
