세계적으로 악명을 떨치던 레빌(Revil) 랜섬웨어 조직원이 국제 공조수사를 통해 체포됐다.

미국 법무부가 현지시간으로 8일, 카세야 공급망 공격의 주범인 레빌 조직 산하단체 해커 2명을 체포해 기소하고, 범죄로 얻은 약 71억원 상당의 암호화폐를 압수했다고 밝혔다.

소디노키비(Sodinokibi)라는 이름으로도 알려진 레빌은 과거 악명을 떨친 '갠드크랩'의 조직원 일부가 모여 새로 만든 단체다. 올해 7월, IT 솔루션 기업 카세야를 해킹하고, 이를 사용하는 기업 시스템에 숨어들어 랜섬웨어 공격을 펼치기도 했다.

특히 이들은 서비스형 랜섬웨어(RaaS)로 이름을 알렸다. RaaS란 개발자가 자신이 만든 악성코드를 마치 클라우드 서비스처럼 제공하고, 유포자는 이를 이용해 여러 시스템을 감염시킨 뒤 범죄 수익을 서로 분배하는 방식이다. 국내에서도 지난 2019년부터 경찰기관, 헌법재판소, 한국은행 등을 사칭해 갠드크랩 랜섬웨어 대량으로 유포된 바 있다.

이번에 검거된 조직원은 국제 공조수사를 통해 루마니아에서 체포되고, 미국으로 넘겨졌다. 유로폴을 중심으로 아시아, 유럽, 중동 전역에서 펼쳐진 이번 작전에는 한국을 포함한 17개 국가가 참여했다.

유로폴은 레빌과 소디노키비 조직을 소탕하기 위해 국제 공동조사팀을 구성했다. 그 결과로, 한국에서 2월, 4월, 10월에 약 1500명의 피해자를 낸 범죄 조직원 일부를 검거했으며, 이달 4일 쿠웨이트에서도 갠드크랩 조직원을 체포하는 데 성공했다. 올해 2월부터 체포된 용의자는 7명이다.

리사 모나코 미국 법무부 차관은 기자회견에서 "소디노키비와 레빌은 전세계 기업과 인프라를 공격했다. 우리가 범죄자에게 보내는 메시지는 명확하다. 우리를 노린다면, 우리도 그들을 노릴 것"이라며, "오늘 발표로 우리가 어떻게 그들과 싸울 것인지 보여줄 것"이라고 말했다.

이처럼 최근 사이버공격은 국경을 넘나들며 발생하고 있다. 특히, RaaS의 등장은 개발자와 유포자의 분업 구조를 만들었고, 실제 범죄의 핵심인 개발자 검거를 더욱 어렵게 만들고 있다. 이에 따라 국제적인 공조를 통해 수사력을 강화할 필요성도 커지고 있다.

실제로 올해 3월, 경찰청 사이버수사국은 2년간 10개국과 국제 공조수사를 펼쳐 갠드크랩 랜섬웨어 국내 유포책을 검거한 바 있다. 국내 유포책은 지난 2019년부터 주요 공공기관을 사칭한 이메일로 랜섬웨어를 유포해왔으며, 가상자산으로 범죄수익금을 받고 IP를 우회하는 치밀하게 추적을 회피했다. 이에 경찰은 가상자산 입출금 기록 3천만건을 파악하고, 통신기록을 분석해 범죄자를 특정했으며, 인터폴과 협력해 개발자를 추적하고 있다.

국내 대학교와 기업을 공격한 클롭 랜섬웨어 조직 역시 올해 10월, 국제 공조로 자금세탁 총책 등 4명을 입건했다. 사이버수사국은 6월부터 우크라이나 경찰, FBI, 인터폴과 함께 우크라이나 현지에서 합동수사를 펼쳤으며, 휴대전화, 노트북, 현금, 차량 등을 압수했다.

경찰청은 이번 자금세탁 조직원 검거 이후에도 실제 랜섬웨어를 제작해 유포한 공격자를 검거할 때까지 수사를 이어가고, 범국가적인 랜섬웨어 범죄 차단을 위해 역량을 집중할 계획이라고 밝혔다.