>
연구(Insikt)

Dark Covenant 2.0: 사이버 범죄, 러시아, 우크라이나 전쟁

게시일: 2023년 1월 31일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

편집자 주: 이 내용은 보고서 전문에서 발췌한 것입니다. 각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 러시아의 우크라이나 전쟁과 관련하여 러시아와 동유럽의 러시아 연방, 사이버 범죄자, 자칭 핵티비스트 간의 무언의 커넥션을 조사합니다. 이는 2021년 보고서 '다크 언약'에 제시된 조사 결과의 직접적인 연장선상에 있습니다: 러시아 국가와 범죄 행위자 간의 연결" 보고서의 후속 보고서입니다. 이 보고서는 위협 연구자뿐만 아니라 법 집행 기관, 정부 및 국방 기관에서도 관심을 가질 만한 자료입니다.

Executive Summary

2022년 2월 24일부터 러시아의 우크라이나 전쟁으로 인해 러시아의 사이버 범죄 위협 환경은 큰 변화를 겪었습니다. 전쟁은 사이버 범죄 지하에 혼란을 가져왔고, 독립국가연합(CIS) 국가들의 위협 행위자들을 양극화시켰습니다. 일부 사이버 범죄 그룹은 러시아 정부에 충성을 선언했지만, 화해할 수 없는 이념적 차이로 분열하거나 비정치적인 태도를 유지하며 지정학적 불안정을 이용해 금전적 이득을 취하는 그룹도 있었습니다. 일부 그룹은 완전히 사라졌습니다. 전쟁의 간접적인 결과로 지하 시장의 혼란, 핵티비스트 및 랜섬웨어 표적 공격의 변화, 금융 사기의 급증 등 러시아 사이버 범죄 생태계에 영향을 미치는 여러 가지 현상이 발생했습니다.

이러한 변화 속에서도 한 가지 크게 변하지 않은 것은 사이버 범죄 위협 그룹이 러시아 정부에서 직접적, 간접적, 암묵적으로 중요한 역할을 계속 담당하고 있다는 점입니다. 크렘린에 충성을 맹세한 사이버 범죄 그룹들의 경우, 무언의 유착 관계가 더욱 깊어졌습니다. 러시아 사이버 범죄자들과 자칭 핵티비스트들은 우크라이나 단체와 인프라, 우크라이나 지지를 선언한 주에 위치한 단체를 대상으로 한 작전에 적극적으로 관여하고 있습니다. 레코디드 퓨처는 러시아와 러시아어를 사용하는 위협 행위자들이 미국, 영국, 북대서양조약기구(NATO), 일본 등을 대상으로 금전적 이득과 러시아를 지지하는 자존심 중심의 홍보를 노리는 것을 관찰했습니다.

어두운 언약-2-사이버범죄-러시아-국가전쟁-우크라이나-001.jpg 그림 1: 콘티 갱이 러시아 정부와 동맹을 맺은 2022년 2월 25일자 콘티 갱 성명서(출처: Conti.News)

Conti와 같은 사이버 범죄 조직은 러시아 정부에 대한 충성을 공개적으로 선언했으며, 최상위 러시아어 포럼에서 사용할 수 있는 DarkCrystal RAT, Colibri Loader, WarZoneRAT와 같은 상용 멀웨어는 지능형 지속 위협(APT) 그룹이 우크라이나 내 조직을 공격하는 데 사용되고 있습니다. 우리는 전쟁이 시작되기 전과 전쟁이 시작된 직후에 러시아 국가의 소행으로 추정되는 사이버 범죄 활동을 확인했습니다. 러시아어를 사용하는 자칭 '핵티비스트' 그룹인 킬넷(Killnet), 자크넷(Xaknet)은 우크라이나에 대한 공포를 조장하거나 지지를 감소시킬 목적으로 러시아 국영 미디어를 통해 서방의 조직과 단체를 대상으로 정보 작전(IO)을 활발히 수행하고 있는 것이 거의 확실합니다. 또한 결제 카드 사기 증가, 데이터베이스 유출, 다크웹 마켓플레이스 폐쇄 등 우크라이나 전쟁을 지원한 러시아 단체를 겨냥한 경제, 외교, 법 집행 활동의 결과라고 판단되는 다른 현상도 확인했습니다.

주요 판단

  • 러시아 정보기관, 군대, 법 집행 기관은 사이버 범죄 위협 행위자들과 오랜 기간 암묵적으로 이해하고 있을 가능성이 높으며, 경우에 따라서는 간접적인 협력이나 채용을 통해 사이버 범죄 위협 행위자들과 체계적으로 관계를 유지하고 있을 가능성도 거의 확실합니다.
  • 러시아의 우크라이나 전쟁과 관련된 사이버 범죄 및 핵티비스트 활동에 대한 이해를 바탕으로 사이버 범죄 위협 행위자들이 러시아 국가와 협력하여 러시아의 공격적인 사이버 및 정보 작전을 조정하거나 확대하고 있을 가능성이 높습니다.
  • 러시아의 사이버 범죄 그룹, 도구, 전술, 기법 및 절차(TTP)는 우크라이나에서 러시아 전쟁에 연루된 국가 지원 위협 행위자들에게 그럴듯한 부인력을 제공하는 역할을 할 수 있습니다. 지정학적 불안정을 이용하는 금전적 동기를 가진 위협 행위자들도 우연이든 의도적이든 러시아 국가의 이익을 돕고 방조하고 있을 가능성이 높습니다.
  • 러시아 사법 당국이 전쟁에 앞서 다크 웹과 특수 액세스 소스를 압수한 것은 사이버 범죄를 저지하려는 러시아 국가의 의지와 능력을 보여주는 선의의 표시로 보였습니다. 그러나 이러한 집행 조치는 사이버 범죄자와 러시아 국가 간의 협력 혐의를 약화시키기 위한 것으로 보이며, 이는 더욱 그럴듯하게 부인할 수 있는 근거를 제공합니다.
  • 러시아의 우크라이나 전쟁으로 인해 여러 사이버 범죄 산업이 혁신적인 변화를 겪었습니다. 여기에는 서비스형 멀웨어(MaaS) 및 서비스형 랜섬웨어(RaaS) 위협 환경의 변화, 러시아 결제 카드 사기 증가, 사이버 범죄 표적의 변화, 인프라 및 호스팅의 변화 등이 포함됩니다.

방법론

이 보고서는 러시아어를 사용하는 사이버 범죄자들이 자주 사용하는 다크 웹, 특수 액세스 및 소셜 미디어 소스를 모니터링하고 참여하여 수집한 정보를 포함하여 공개 및 인적 출처에서 얻은 정보를 종합합니다. 저희는 여러 영어 포럼을 조사하여 다크웹에서 러시아어를 사용하는 사이버 범죄자들이 운영하는 것으로 의심되는 연락처와 연결 지점을 상호 참조했습니다. 또한 텔레그램, 톡스, 자버(XMPP) 등 오픈 소스 및 비공개 소스 메시징 플랫폼과 소셜 미디어에서 정보를 수집했습니다.

랜섬웨어 갈취, 채팅 및 결제 웹사이트에 대한 수집은 다양한 랜섬웨어 그룹과 러시아 국가를 연결하는 데 도움이 되었습니다. 저희는 2022년 2월 24일 러시아의 우크라이나 침공 전후의 랜섬웨어 피해자 연구를 위해 정성적, 정량적 방법을 사용하여 동기와 이데올로기에 대한 이론을 정립했습니다. 이 보고서는 러시아 우크라이나 전쟁의 맥락에서 지정학적 사건, 사이버 범죄 행위자 및 위협 행위자 그룹, 지능형 지속 위협(APT), 러시아 국가 간의 연관성을 시각화하고 조사 결과를 도출하기 위해 Recorded Future Platform(®)을 많이 활용했습니다.

또한 학술 간행물, 업계 백서, 컨퍼런스 발표 등 다른 형태의 OSINT 연구에 크게 의존하여 HUMINT 수집 과정의 공백을 메우고 있습니다. 이 보고서는 이전의 오픈 소스 보고서와 2021년 다크 언약 보고서 원본을 연구의 배경과 근거로 삼았습니다. 이 보고서는 2022년 2월 24일부터 2022년 8월 24일까지 조사 및 작성되었습니다.

어두운 언약-2-사이버범죄-러시아-국가-전쟁-우크라이나-002.png 그림 2: 우크라이나 분쟁 기간 동안 사이버 범죄 생태계, 자칭 핵티비스트 단체, 국가 지원 단체 간의 사건 타임라인(출처: Recorded Future)

배경

"다크 언약"

2021년에는 러시아 사이버 범죄 세계의 개인과 러시아 법 집행기관 또는 정보기관 관계자(구어체로 실로비키라고도 함)의 분산된 네트워크가 어떻게 연결되어 있는지에 대해 자세히 설명 했습니다. 이 보고서는 이러한 생태계의 관계는 종종 말하지 않지만 이해되는 합의가 전제되어 있으며, 이는 유연한 연관성으로 구성된다는 점을 자세히 설명합니다. 이 연구는 과거 활동, 공개 기소 및 랜섬웨어 공격을 기반으로 합니다. 전반적으로 이 보고서는 러시아 사이버 범죄 환경과 실로비키의 연관성을 직접적 연관성, 간접적 연관성, 암묵적 합의의 세 가지 주요 범주로 분류했습니다.

  • 직접적인 연관성은 국가 기관과 지하 범죄 조직 간의 정확한 연결 고리를 통해 확인할 수 있는데, 사이버 범죄자로 활동하다 영입된 러시아 연방보안국(FSB) 소령 드미트리 도쿠차예프가 그 예입니다.
  • 간접적 연관성은 직접적인 연관성을 확인할 수는 없지만 러시아 정부가 자국의 이익을 위해 자원이나 인력을 사용하고 있다는 명백한 징후가 있는 경우 발생하는데, 예를 들어 러시아 정부가 군사 분쟁 중 '애국적 해커'의 스파이 활동이나 디도스 공격에 GameOver Zeus 봇넷을 사용했을 가능성이 있는 것이 이에 해당합니다.
  • 암묵적 합의는 러시아의 국가 이익이나 전략적 목표에 도움이 되는 사이버 범죄 활동(표적 및 시기 포함)이 국가와 직간접적으로 연계되지 않고 수행되지만 크렘린궁이 이를 허용하는 경우로 정의됩니다.

2021년 보고서에서 저희는 사이버 범죄와 실로비키의 연관성이 당분간 지속될 것이며, 이러한 연관성과 활동은 두 그룹 간의 명백하고 직접적인 연결고리를 줄이고 그럴듯한 부인력을 제공하는 방향으로 변화할 가능성이 높다고 평가했습니다.

첫 번째 보고서 이후 러시아 정부는 우크라이나를 침공했고, 이 사건은 군사력 및 사이버 역량과 관련된 러시아의 능력과 단점에 대한 우리의 이해를 밝혀주었습니다. 예를 들어, 사이버 범죄 집단인 콘티(Conti)와 트릭봇(마법사 거미)에 대한 일련의 유출 사건은 이러한 집단과 국가 간의 관계를 전례 없이 드러냈습니다. 이 분쟁으로 인해 자칭 핵티비스트들이 애국심에서 비롯된 것으로 알려진 친러시아 공격을 자행하고 있지만, 경우에 따라 이러한 단체가 러시아 정부에 그럴듯한 명분을 제공하고 있을 가능성도 있습니다.

러시아의 우크라이나 침공

2022년 2월 러시아의 우크라이나 침공으로 인해 유럽에서 인도주의적 위기가 확대되고 국제적 긴장이 고조되고 있습니다. 러시아가 물리적, 정보 및 사이버 영역에서 수행한 분쟁에는 다수의 친러시아 위협 행위자 그룹과 이전에는 보이지 않던 사이버 범죄 생태계 내 일부 단체가 참여했습니다. 이 전쟁으로 인해 이미 정부와 민간 부문의 수많은 우크라이나 기관에 대한 대규모 분산 서비스 거부 공격(DDoS), 웹사이트 훼손, 피싱 및 스팸 캠페인, 멀웨어 배포, 와이퍼 공격이 발생했습니다.

사이버 전쟁에서의 러시아 사이버 범죄

2019년 12월 12일에 발표된 메두자 보고서에 따르면 러시아 정보기관이 고도로 숙련된 컴퓨터 프로그래머, 네트워크 전문가 및 기타 기술에 정통한 인력을 채용한 시기는 적어도 1990년대로 거슬러 올라갑니다. 이 보고서에는 해커가 일정 수준의 성공을 거두면 곧바로 채용 대상이 된다는 FSB 임원의 말이 인용되어 있습니다: "[FSB 요원의] 말을 빌리자면, '보잘것없는 배경을 가진 최초의 공대생이 페라리를 타고 모스크바 거리로 나오자마자' FSB 요원들은 사이버 범죄 사업을 통제하고 자신의 것으로 만들기 위해 모집을 시작했습니다." 라고 합니다.

2019년 저서 "침입: 러시아 해커의 간략한 역사"에서 다니엘 투로프스키는 익명의 러시아 해커가 범죄 조직과 러시아 정보기관 간의 연관성에 대해 설명한 내용을 인용했습니다. 해커에 따르면 러시아 연방보안국(CIB FSB)의 정보보안센터는 기술 인력이 부족해 외부 전문가를 자주 데려왔고, 일부 해커는 안전가옥에 숨어 지내기도 한 것으로 알려졌습니다.

러시아 탐사 저널리스트이자 크렘린궁의 온라인 활동을 다룬 책 '레드 웹'의 공동 저자인 안드레이 솔다토프는 러시아 정부가 다양한 그룹에 사이버 운영을 아웃소싱하는 전략이 러시아 정부와의 거리를 두는 데 도움이 되지만(궁극적으로 신뢰성을 확보하는 데도 도움이 되지만) 해커의 공격에 취약해졌다고 말했습니다.

외교 정책에서의 러시아 사이버 범죄

2021년 9월, 첫 번째 다크 언약 보고서를 발표할 무렵, 최근의 유명한 랜섬웨어 공격과 이후 미국과 러시아 간의 정부 간 협의에 따라 계산법에 변화가 있음을 확인했습니다. 당시 콜로니얼 파이프라인, JBS, 카세야에 대한 랜섬웨어 공격으로 인해 미국은 러시아 정부에 이러한 활동의 배후에 있는 사이버 범죄 집단에 대한 조치를 취하도록 압력을 강화했습니다. 이 무렵, 두 개의 주요 러시아어 포럼인 익스플로잇과 XSS의 관리자들은 압박이 심해지자 범죄 지하 플랫폼에서 랜섬웨어 관련 주제를 빠르게 금지했습니다. 그러나 랜섬웨어 활동은 '초기 액세스' 및 '데이터 유출' 중개 서비스의 형태로 지속되고 있습니다. 또한, 2021년 6월 16일 스위스 제네바에서 열린 조 바이든 미국 대통령과 블라디미르 푸틴 러시아 대통령의 첫 회담 직전 또는 며칠 후에 다크사이드, 레블, 아바돈 랜섬웨어 패밀리는 갈취 활동을 중단했습니다. 이 일시 중단은 2022년에도 에너지 부문의 중요 인프라 대상과 유럽의 운송 기관(1, 2, 3)에 영향을 미치는 공격을 포함하여 랜섬웨어 공격이 계속되었기 때문에 일시적인 조치였습니다.

관련