어두운 사이버 범죄 세계의 많은 것들이 그렇듯, 내부자 위협을 직접 겪어본 사람은 극히 드물다. 물론 이에 대해 이야기하고 싶어 하는 사람도 없을 것이다.
그런데 최근 범죄 조직으로부터 직접 제안을 받았다. 해커들이 조직의 내부자를 어떻게 이용하는지 짐작할 수 있는, 우려되지만 특별한 경험이었다.
"당신의 PC에 접속할 수 있도록 도와준다면 받은 랜섬(인질의 몸값)의 15%를 드리죠."
올해 7월, 암호화된 메시지 앱 '시그널'에서 '신디케이트'라는 이름의 상대로부터 날아든 갑작스러운 메시지였다.
누구인지는 전혀 감이 오지 않았으나, 무엇을 제안하고 싶은 것인지는 즉각 눈치챌 수 있었다.
이들이 내 노트북을 통해 BBC 시스템에 접근할 수 있도록 도와주면, 이후 챙길 경제적 이익의 일부를 나누어주겠다는 제안이었다. 내 협조를 바탕으로 회사의 데이터를 훔치거나, 악성 소프트웨어를 설치하여 BBC를 인질로 삼은 뒤 몸값을 요구할 테니, 이중 은밀히 내 몫을 챙기라는 것이다.
사실 이런 이야기에 대해 이미 들어본 뒤였다. 이 불청객의 메시지를 받기 불과 며칠 전, 브라질에서 한 IT 직원이 해커들에게 자신의 로그인 정보를 팔아넘긴 혐의로 체포되었다는 소식을 접했기 때문이다. 이로 인해 피해 은행은 1억달러(약 1405억원)의 손실을 입었다고 한다.
나는 BBC 선임 편집자에게 조언을 바탕으로 고민 끝에 '신디케이트'의 제안을 우선 받아들인 뒤 어떻게 흘러가는지 지켜보기로 했다.
전 세계적으로 사이버 공격이 일상생활에 미치는 영향력과 파괴력이 점점 커지는 이 시점에 범죄자들이 어떻게 기업 내부 직원들에게 접근하여 이들과 손을 잡고 이토록 은밀한 거래를 하는지 직접 보고 싶었기 때문이다.
대화 도중 이름을 '신(Syn)'으로 바꾼 상대방에게 나는 약간 관심이 있긴 하지만, 어떤 방식으로 작업이 이루어지는지 먼저 알고 싶다고 말했다.
그러자 내 로그인 정보와 보안 코드를 넘겨 받으면, 이를 바탕으로 BBC를 해킹하여 데이터 등을 인질로 잡고 몸값으로 비트코인을 요구할 것이라고 했다. 그렇게 돈을 받으면 일부를 내 몫으로 주겠다고 했다.
내가 관심을 보이는 듯해 보이자, 상대방은 제안가를 올렸다.
"BBC에서 받는 월급이 얼마인지는 모르겠지만, 우리가 BBC의 총 수익에서 1%를 받으면 당신이 최종적으로 25%를 가져가는 건 어떠세요? 그렇게 되면 당신은 평생 다시는 일하지 않고 은퇴할 수도 있겠죠."
'신'은 자신들이 성공적으로 BBC에 침투할 경우 수천만 달러 규모의 몸값을 요구할 수 있을 것으로 추산했다.
BBC는 지금껏 해킹 공격 시 몸값을 지불할지 여부에 대해 공식적인 입장을 밝힌 바 없으나, 정부 기관은 지불하지 말라고 조언한다.
그럼에도 해커들은 계속해서 제안을 이어갔다.
- KT 해킹 피해 일파만파...'무단 소액결제' 어떻게 예방하나
- 유명 암호화폐 기업 '코인베이스', 사이버 해킹 공격으로 최대 6000억원 손실
- IT대란을 이용한 가짜 이메일, 웹사이트 등장... '피싱 주의' 경고
'신'은 내게 수백만달러를 챙길 수 있을 것이라면서 "이 대화도 영원히 추적되지 않도록 삭제하겠다"고 했다.
이어 자신은 이미 내부자 거래로 이미 큰 성공을 거둔 바 있다고 주장했다. 그러면서 영국의 어느 헬스케어 기업과 미국 응급 서비스 기관을 올해 해킹에 성공한 예시로 들었다.
신은 "우리에게 접근 권한을 제공해주는 직원이 얼마나 많은지 알면 당신도 놀랄 것"이라 했다.
한편 신은 자신을 '메두사'라 불리는 사이버 범죄 집단의 "연락 담당자"라고 소개했다. 아울러 자신은 서양인이며, 이 조직 내 유일한 영어 사용자라고 덧붙였다.
'메두사'는 서비스형 랜섬웨어(RaaS), 즉 랜섬웨어 공격을 수행하는 도구를 판매하는 조직이다.
사이버 보안 업체 '체크포인트'의 연구 보고서에 따르면 메두사 운영진은 러시아 또는 러시아 동맹국에서 활동하는 것으로 추정된다.
"이 그룹은 러시아 및 독립국가연합(CIS) 내 조직은 표적으로 삼지 않으며, (주로) 러시아어로 된 다크 웹 포럼에서 활동한다."
'신'은 올해 3월 메두사에 관한 미국의 공개 경고문 링크를 자랑스럽게 보내왔다.
미 사이버 당국은 메두사가 지난 4년간 "300곳 이상에 피해"를 입혔다고 밝혔다.
또한 '신'은 막대한 수익을 받는 대가로 BBC 접근권을 판매하는 거래도 진지하게 생각해보라고 했다.
상대가 누군지도 모르는 상황이었기에 나는 "당신이 장난치는 아이들이거나, 나를 함정에 빠뜨리려는 사람이 아닌지 어떻게 아냐"면서 '신'에게 증명해보라고 했다.
그러자 메두사의 다크넷 주소 링크를 보내며, '톡스'(사이버 범죄자들이 선호하는 보안 메시지 앱)를 통해 연락달라고 했다.
'신'은 매우 참을성이 없었고, 빨리 답변을 달라며 재촉했다.
특정 사이버 포럼에 있는 메두사의 모집 페이지 링크를 보내며, 보증금 형태로 0.5비트코인(약5만5000달러)을 걸겠다고 했다. 즉 내가 로그인 정보를 넘기면 최소한 이 금액은 확보하는 것이다.
"우린 허세를 부리거나 장난치는 게 아니다. 미디어와 관련된 목적은 없다. 우리가 원하는 건 돈 뿐이다. 주요 관리자 중 하나가 내게 당신에게 연락해보라고 했다."
그들은 내가 기술에 능통할 뿐만 아니라, BBC IT 시스템에 고위 수준의 접근권이 있다고 판단해(사실은 그렇지 않다) 나를 선택한 듯하다. 심지어 지금도 '신'이 내가 사이버 보안 또는 IT 직원이 아닌 사이버 전문기자인지 알고 있는지 모르겠다.
한편 그들은 내가 설령 알더라도 대답하지 않았을, BBC IT 네트워크에 관한 수많은 질문을 던졌다. 그런 다음 복잡한 컴퓨터 코드를 보내며 업무용 노트북에서 이를 명령어로 실행한 뒤, 그 결과를 보고하라고 했다. 아울러 내부 침투 후 다음 단계를 계획하고자 내게 어느 정도의 IT 접근권이 있는지 알고 싶어 했다.
이는 '신'과 대화를 나눈 지 3일째 되던 날 벌어진 일로, 더는 무리라고 판단해 BBC 정보 보안 전문가들의 추가 조언을 구하기로 했다.
다만 일요일 아침이었기에 다음 날 아침 보안팀과 상의할 계획이었다. 이에 시간을 좀 끌었더니, '신'은 짜증이 난 모양이었다.
거듭 "언제 할 수 있냐. 나는 그리 참을성이 많지 않다"며 재촉하기 시작한 것이다. 데드라인은 월요일 오후 12시였음에도, 해커들은 결국 참을성을 잃었다.
내 휴대전화 알림이 쉴 새 없이 울리기 시작했다. 내가 BBC 계정에 로그인하려는 게 맞는지 확인하는 BBC 보안 로그인 앱의 이중 인증 알림이었다.
휴대전화를 손에 쥐고 있는 동안 1분마다 새로운 확인 요청 알림이 울렸다.
나는 이게 무엇인지 정확히 알았다. 바로 '다중인증 폭탄 공격'이라는 해킹 기법이다. 비정상적인 기기에서 비밀번호 재설정이나 로그인을 거듭 시도하여 피해자가 이러한 알림을 끊임없이 받도록 괴롭히는 방식이다.
그러다 결국 피해자는 실수로 혹은 그저 알림창을 없애려고 인증 수락을 누르게 된다. 지난 2022년 우버가 이러한 방식으로 해킹당하며 유명해진 수법이다.
막상 공격을 받게 되니 불안한 기분이 들었다. 이 범죄자들은 이 대화를 채팅 앱에서 내 휴대전화 화면으로 끌어낸 셈이었다. 내 현관문 앞까지 찾아와 마구 문을 두드리는 듯한 느낌이었다.
이러한 전술 변화에 조금 당황했으나, 실수로 인증을 수락하지 않도록 매우 조심스럽게 행동했다. 그랬다간 해커들이 곧장 내 BBC 계정에 접근할 수 있는 상황이었다.
회사의 보안 시스템은 이를 공격으로 인식하지 못했을 것이다. 그저 내가 내 기기로 정상적으로 로그인하거나, 비밀번호를 재설정하려는 것처럼 보였을 테니 말이다. 이후 해커들은 BBC의 민감하거나 중요한 정보를 찾아 탐색하기 시작했을 것이다.
IT 담당자가 아니라 기자이기에 BBC 시스템에 대한 고위 수준의 접근권이 있는 것은 아니었으나, 그래도 걱정이 되었다. 아울러 사실상 내 휴대전화를 못 쓰게 된 셈이었다.
나는 BBC 정보 보안팀에 연락했다. 우리는 이미 예방 조치로 나의 BBC 시스템 접근권을 다 차단하기로 합의한 상태였다. 이에 나는 이메일도, 인트라넷도, 회사 도구도, 권한도 다 차단당했다.
그날 저녁, 해커들로부터 기이할 정도로 차분한 메시지가 도착했다.
"팀을 대신하여 사과드립니다. 저희는 BBC 로그인 페이지를 테스트 중이었으며, 이로 인해 불편함을 경험하셨다면 진심으로 사과드립니다"
지금도 BBC 시스템에서 차단된 상태로, 너무 성가시다고 토로하자, '신'은 내가 원하기만 한다면 여전히 거래 조건은 유효하다고 했다.
하지만 내가 며칠간 응답하지 않자, 이내 '시그널' 계정을 삭제하더니 사라졌다.
나는 추가적인 보호 장치를 더한 채로 BBC 시스템에 복귀했다.
내부자 위협 공격이 어떻게 이루어지는지 직접 내부자가 되어보는 경험도 얻었다.
끊임없이 진화하는 사이버 범죄자들의 전술을 들여다보는 섬뜩한 경험이었으며, 직접 당하기 전에는 제대로 인식하지 못했던, 전체 조직에 어떤 위협을 가할 수 있는지 깨닫게 된 사건이었다.
- 로맨스 스캠 '돼지 도살' 사기, BBC 기자가 직접 당해봤다
- 왜 서방 국가의 해킹 공격 소식은 드물까?
- 화상 회의에 내 AI 클론을 보내봤다
- IT대란을 이용한 가짜 이메일, 웹사이트 등장... '피싱 주의' 경고
Copyright ⓒ BBC News 코리아 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
