독일 경찰, GandCrab·REvil 랜섬웨어 조직의 러시아인 수장 실명 공개
(krebsonsecurity.com)- 독일 연방범죄수사청이 러시아 국적의 다닐 막시모비치 슈추킨을 GandCrab과 REvil 랜섬웨어 조직의 수장으로 지목하며 실명을 공개함
- 슈추킨은 ‘UNKN(UNKNOWN)’이라는 닉네임으로 활동하며, 피해자에게 두 차례 돈을 요구하는 이중 갈취 방식을 도입한 핵심 인물로 알려짐
- GandCrab은 2018년 등장해 제휴 모델을 통해 약 20억 달러를 갈취한 뒤 종료되었고, 이후 REvil이 등장해 대형 기업을 표적으로 삼음
- 미국 법무부는 슈추킨 명의의 암호화폐 계좌 압류를 요청했으며, 독일 당국은 그가 러시아 크라스노다르에 거주 중일 가능성이 높다고 발표함
- REvil은 업무 외주화와 하위 생태계를 갖춘 산업형 범죄 구조로 발전했으나, 2021년 Kaseya 해킹 사건 이후 FBI의 개입으로 붕괴됨
독일, 러시아 랜섬웨어 조직 GandCrab·REvil의 수장 ‘UNKN’ 실명 공개
-
독일 연방범죄수사청(BKA) 은 러시아 국적의 다닐 막시모비치 슈추킨(Daniil Maksimovich Shchukin) 을 GandCrab과 REvil 랜섬웨어 조직의 수장으로 지목
- 슈추킨은 2019~2021년 사이 독일 내에서 최소 130건의 컴퓨터 파괴 및 협박 행위를 주도한 혐의
- 또 다른 러시아인 아나톨리 세르게비치 크라브추크(Anatoly Sergeevitsch Kravchuk) 와 함께 약 200만 유로를 갈취하고, 총 3,500만 유로 이상의 경제적 피해를 초래한 것으로 조사됨
- BKA는 슈추킨이 ‘UNKN’(또는 UNKNOWN) 이라는 닉네임으로 활동하며, 이중 갈취(double extortion) 방식을 도입한 핵심 인물이라고 발표
- 피해자는 암호 해제 키를 받기 위해 한 번, 탈취된 데이터를 공개하지 않게 하기 위해 또 한 번 돈을 지불해야 했음
- GandCrab과 REvil은 전 세계적으로 활동한 대형 랜섬웨어 네트워크로 평가됨
GandCrab과 REvil의 형성과 진화
-
GandCrab 랜섬웨어는 2018년 1월 등장해, 해커들에게 기업 계정 침투만으로도 수익을 배분하는 제휴(affiliate) 모델을 운영
- 개발팀은 보안업체의 대응을 피하기 위해 다섯 차례 주요 버전을 배포하며 기능을 지속적으로 개선
- 2019년 5월, 약 20억 달러를 갈취한 뒤 활동 종료를 선언하며 “악행으로도 무사히 부자가 될 수 있다”는 메시지를 남김
- GandCrab 종료 직후 REvil 랜섬웨어가 등장
- ‘UNKNOWN’이라는 사용자가 러시아 범죄 포럼에 100만 달러를 예치하며 신뢰를 확보했고, 이는 GandCrab의 재편으로 간주됨
- REvil은 대형 기업과 보험 가입 조직을 주요 표적으로 삼아 막대한 몸값을 요구하는 ‘빅게임 헌팅’ 전략으로 발전
슈추킨의 신원 및 국제 수사
- 미국 법무부는 2023년 2월, REvil 활동 수익이 담긴 암호화폐 계좌 압류를 요청하며 슈추킨의 이름을 명시
- 해당 지갑에는 약 31만7천 달러 상당의 암호화폐가 포함되어 있었음
- BKA는 슈추킨이 러시아 크라스노다르 출신이며 현재도 그곳에 거주 중일 가능성이 높다고 발표
- “해외 체류 중일 가능성이 있으며, 여행 활동도 배제할 수 없다”고 명시
REvil의 조직 운영과 산업화된 범죄 구조
-
Renee Dudley와 Daniel Golden의 저서 The Ransomware Hunting Team에 따르면, REvil은 합법 기업처럼 업무 외주화와 재투자(reinvestment) 를 통해 효율을 극대화
- 개발자는 품질 향상에 집중하고, 외부 업체가 웹 디자인·로지스틱스·암호화 서비스 등을 담당
- ‘크립터’ 제공자, ‘초기 접근 브로커’, 비트코인 세탁 서비스 등 다양한 하위 생태계가 형성되어 범죄 산업이 확장됨
주요 사건과 몰락
- 2021년 7월 4일 주말, REvil은 미국 IT 관리업체 Kaseya를 해킹해 1,500여 고객사에 피해를 입힘
- FBI는 이미 REvil 서버에 침투해 있었으나 작전 노출을 피하기 위해 즉시 개입하지 못했다고 발표
- 이후 FBI가 무료 복호화 키를 공개하면서 REvil은 사실상 붕괴됨
추가 단서와 신원 확인
- 사이버 인텔리전스 기업 Intel 471의 포럼 분석 결과, 슈추킨은 과거 ‘Ger0in’ 이라는 이름으로 봇넷 운영 및 악성코드 설치 서비스를 판매한 기록이 있음
- Ger0in은 2010~2011년 활동했으며, UNKNOWN과의 직접적 연결은 확인되지 않음
- Pimeyes 이미지 비교 사이트를 통해 BKA가 공개한 사진과 2023년 크라스노다르 생일 파티 사진의 인물이 동일 시계를 착용한 것으로 일치
- 2023년 독일 CCC(Chaos Communication Congress) 회의에서도 슈추킨이 REvil 리더로 언급된 영어 더빙 오디오가 공개됨
Hacker News 의견들
-
몇 년 전 이미 CCC 소속 해커들이 이 인물 중 한 명의 신원을 밝혔다는 이야기를 들었음
업데이트에 언급된 내용처럼 CCC 발표 영상에서도 다뤄졌음
수사기관이 이걸 독자적으로 알아낸 건지, 아니면 이미 방어에 참여했던 해커들에게 도움을 요청한 건지 궁금해짐- 나는 이 주제에 깊이 있진 않지만, 일반적으로 CCC와 BND(독일 정보기관) 사이에는 따뜻한 관계가 아님
특히 BND가 독일 시민을 감시한 사건 이후로는 더 그렇고, 역사적으로도 갈등이 있었음
그래서 해커가 BND와 협력하면 동료 해커들 사이에서 신뢰를 잃을 위험이 있음 -
Linus Neumann도 최근 Logbuch Netzpolitik 팟캐스트 에피소드에서 왜 지금 이런 일이 벌어지는지 의아해했음
그들 역시 공식적으로 연락받은 적이 없다고 함
- 나는 이 주제에 깊이 있진 않지만, 일반적으로 CCC와 BND(독일 정보기관) 사이에는 따뜻한 관계가 아님
-
Spiegel이 최근 이 사건에 대한 영상 리포트를 올렸음
-
누군가를 ‘가장 수배자 명단’에 올리는 게 도싱(doxing) 인가 하는 의문이 듦
공식 설명에는 “Daniil Maksimovich Shchukin이 기업과 공공기관을 상대로 한 랜섬웨어 협박 혐의로 국제 수배 중”이라고 되어 있음- 나는 이 표현이 불편함. ‘도싱’은 원래 부정적인 의미로, 잘못이 없는 사람의 신상을 공개할 때 쓰는 말임
여기서는 ‘accuse’나 ‘unmask’가 더 정확한 표현이라고 생각함 - 언어가 변하면서 요즘은 ‘도싱’이 단순히 개인정보를 동의 없이 공개하는 행위로 쓰이는 듯함
- 미국이 이미 3년 전에 그를 특정했다는 얘기도 있음
- 이 논리를 이해하기 어렵다고 느낌. GDPR을 너무 진지하게 받아들이는 것 같음 (농담임)
- 만약 단순히 ‘UNKN’을 수배 명단에 올렸다면 도싱이 아니겠지만, ‘UNKN’을 실제 이름과 연결했기 때문에 도싱으로 볼 수 있음
- 나는 이 표현이 불편함. ‘도싱’은 원래 부정적인 의미로, 잘못이 없는 사람의 신상을 공개할 때 쓰는 말임
-
“익명의 협박범의 이름을 공개했다”는 게 왜 도싱인지 모르겠음
기사에 주소나 가족 정보, 연락처가 포함된 것도 아닌데, 단지 “체포 대상자”를 밝힌 것뿐임- 요즘 ‘도싱’의 의미가 ‘당사자 동의 없이 정보 공개’ 로 확장된 것 같음
문제는 이런 공개로 인해 주변 사람들이 그를 범죄자나 부자 이웃으로 인식하면서 절도나 협박 시도가 생길 수 있다는 점임
실제로 도싱된 사이버 범죄자를 협박하려고 정보기관 사칭까지 한 사례도 있었음 - 게다가 “독일이 원한다”는 말 자체가 별로 영향력 있어 보이지 않음
- 요즘 ‘도싱’의 의미가 ‘당사자 동의 없이 정보 공개’ 로 확장된 것 같음
-
사람들은 ‘도싱’이라는 단어의 의미에 너무 매달리는 것 같음
익명 해킹 커뮤니티에서는 누군가의 OPSEC(보안 운영) 을 노출하는 행위 자체가 도싱으로 간주됨
일부는 ‘풀 디스클로저’ 방식으로 모든 OPSEC 실패를 즉시 공개함
그렇지 않으면 누군가 그 정보를 쌓아두고 나중에 협박용으로 쓰는 일이 생기기 때문임 -
‘doxxes’가 올바른 철자라고 생각함. ‘doxes’는 발음상 ‘도크시즈’처럼 들려 어색함
몇십 년 전만 해도 이런 헤드라인 자체가 난해한 말장난처럼 들렸을 것임 -
언제부터 공식 수배자 명단에 올리는 것이 도싱이 된 건지 모르겠음
정보가 내려가길 원하면 법정에 출석하면 되는 일임