5억에서 3억으로 해커와 흥정…갈취액 깎는 '음지의 협상가'[은폐④]

은폐_해킹 당해도 숨는 기업들

<2부. 음지의 협상>
[1]해커의 5억 요구, 3억으로 깎는 자들

피해기업들, 전문 협상팀 통해 해결
협상수익은 깎은 금액의 30% 규모 수수료

협상 통해 처음 몸값보다 낮춰줘
비트코인 환전·송금까지 맡아서 업무

돈 보냈는데 암호 안 주는 '뒤통수' 주의
해커와 결탁, 깎은 돈 '꿀꺽'하는 협상팀도

게티이미지

랜섬웨어 덫에 걸리고도 신고를 안 하는 기업은 양 갈래 길에 선다. 스스로 해커와 협상하거나 전문 협상팀에 도움을 요청하는 것이다. 사이버보안업체 S2W의 서현민 비즈니스센터 이사는 "해커들이 피해기업에 랜섬노트(메시지)를 남길 때 해커들과 연락하는 방법, 비트코인 환전 방법을 아주 상세하게 적어 놓는다"며 "그렇지만 기업들은 해킹을 당하면 무조건 당황하기 때문에 대부분은 전문가의 손을 빌린다"고 했다.

'전문가'는 피해기업을 대신해 해커와 협상하는 이들을 가리킨다. 주로 다섯 명 안팎의 팀으로 구성된다. 포털사이트에서 '랜섬웨어 데이터 복구 전문 업체'라고 검색하면 줄줄이 뜰 정도다. 기업 대상 해킹이 만들어낸 시장인 셈이다.

하지만 피해기업들이 무작정 아무 업체에 전화하는 일은 거의 없다. 해커에 대한 경계심이 극도로 높아진 만큼 일단 '아는 사람들만 아는' 보안 컨설턴트에게 연락한다. 익명을 요구한 보안 컨설턴트는 "해킹당한 기업에 믿을 만한 협상팀을 연결해 주는 게 내 역할"이라며 "내 전화에 모르는 번호가 뜨면 랜섬웨어에 당한 기업일 가능성이 99%"라고 했다. 버젓한 보안기업 대표인 그의 또 다른 별칭은 '음지의 해결사'다. 중소·중견업계에서 이 이름으로 더 유명하다.

"처음에는 해커가 하라는 대로 직원들과 사이트에 접속해서 대화를 시도해 봤어요. 처음 당한 일이고 너무 놀라니까 머릿속이 하얘지더라고요. 사업하는 친구 중에 믿을 만한 두 명에게 몰래 SOS를 쳤어요. 그중에 한 명이 '보안 컨설턴트'라면서 연락해보라고 명함을 주더군요." 2023년 9월 랜섬웨어에 당한 바이오 소재 업체 대표도 이렇게 음지의 해결사와 연락이 닿아 부산에 있는 협상팀과 계약했다.

협상팀이 해커 상대, 비트코인 송금까지

그때 사건을 맡았던 협상가 김모씨는 2년 전 당시 해커와 주고받은 메신저 내용을 보여줬다. 양측의 대화는 다크웹(특정 프로그램으로 접속하는 비밀 네트워크) 안의 해커가 만든 사이트에서 채팅과 메일로 이뤄졌다. 해커가 요구한 몸값은 약 15비트코인(당시 5억6000만원)이었다.

"당신들이 제안한 금액은 너무 비싸다. 우리는 그 정도 금액을 지불할 수 없다. 협상할 수 있나?"(김모씨) "협상은 항상 가능하다. 오늘이나 내일 바로 지불 가능한가? 그렇다면 추가 할인을 제공할 수 있다. 하지만 돈이 없다고 거짓말은 하지 마라. 너희는 직원 100명 이상, 연매출 최소 5000만달러 이상의 대형 기업이다."(해커)

하루종일 이어진 협상으로 김모씨는 처음 몸값의 60% 수준인 약 9비트코인(당시 3억4000만원)까지 낮춰 마무리했다. 김씨는 "해커들도 협상을 감안해 가격을 1.5~2배가량 높게 부른다"며 "협상은 대부분 가능하지만 해커가 기업의 모든 정보를 훤히 들여다보고 있는 만큼 큰 폭의 흥정은 어렵다"고 했다.

협상팀 수익은 깎은 금액의 30% 규모인 수수료다. 몇 년 사이 데이터 복구 전문 업체들이 늘어나면서 정액제로 계약하거나 협상 불발 시 '돈을 한 푼도 받지 않겠다'는 조건을 내건 곳들도 생겼다.

해커에게 보낼 비트코인 환전과 송금까지가 협상팀의 업무다. 현행법상 한국법인은 가상자산을 직접 매수할 수 없기 때문이다. 피해기업이 김씨에게 현금을 전달하면 김씨는 이를 비트코인으로 바꾼 다음 해커의 지갑으로 보낸다. 이 돈은 피해기업 회계장부에 '복구비용' 같은 기록으로 남는다.

해커가 만든 다크웹상 홈페이지에서 협상팀이 채팅을 통해 랜섬(몸값)을 깎는 모습. 해커가 요구한 몸값은 약 15비트코인(당시 5억6000만원)이었지만 협상 결과 처음 몸값의 60% 수준인 약 9비트코인(당시 3억4000만원)까지 낮췄다. (사진=피해기업 제공)

해커에게 돈을 지불했는데도 암호화를 제대로 풀어주지 않아 뒤통수를 맞은 적도 있다. 지난해 해커조직이 로봇 부품 제조회사 100대의 서버를 인질로 잡고 12비트코인(18억원)을 요구한 건이었다. 협상이 순조롭게 풀려 4비트코인(6억원)으로 막았다. 하지만 해커가 되돌려 준 비밀번호로는 서버 100대 중 2대만 정상화할 수 있었다. 김씨가 나머지도 보내라고 요청하자 해커는 "너무 깎아줬다고 보스(윗선)한테 혼났다"며 "4비트코인 정도 더 받아야겠다"고 했다. 김씨는 "요즘엔 해커가 점점 사악해져서 송금 후 틀린 비밀번호를 주기도 한다. 이럴 때는 다시 연락해 재협상해야 한다"며 "협상 과정에서 해커가 기분이 상하면 돈을 받고도 기밀정보를 다크웹에 올리기도 해 주의해야 한다"고 했다.

믿었던 협상팀에 발등 찍혀…이중으로 돈 뜯겨

해커를 직접 상대하는 협상팀마저 피해기업 입장에선 주의 대상인 경우도 있다. 해커와 결탁해 기업을 두번 울리는 일이 생겨서다. 피해기업의 억울함은 소송으로 이어지기도 한다. 서울의 한 물류업체는 2020년 해커와 협상팀 모두에게 돈을 빼앗겼다. '6비트코인(당시 1억8000만원)을 지급하면 서버의 잠금을 해제하겠다'는 요구를 받았지만 협상 과정에서 몸값을 5.5비트코인으로 낮췄다.

그러나 협상팀은 이 사실을 의뢰 기업에 숨기고 6비트코인에서 깎지 못했다며 위조된 이메일을 내밀었다. 차액 0.5비트코인은 협상팀이 빼돌려 빚을 갚는 데 쓰려했다. 피해기업은 별 의심 없이 구매대금 1억8000만원과 함께 협상 결과에 상관없이 무조건 주기로 했던 수수료 4000만원까지 송금했다. 순조롭게 일이 풀리자 협상팀은 더 욕심이 났다. 해커에게 "2비트코인을 더 요구해 보자. 내가 잘 이야기해서 받아낼 테니 수익을 나누자"는 이메일을 먼저 보내기도 했다.

이 사기집단은 급기야 해커 행세까지 했다. 그들은 파일을 '.enc' 확장자로 암호화하는 악성프로그램을 만들었다. 고객사의 컴퓨터 수리 과정에서 이 프로그램을 심어 랜섬웨어에 감염됐다고 속였다. 1년 동안 협상을 의뢰한 6개 기업에 복구비 명목으로 총 3000만원을 뜯어냈다. 결국 대법원은 2022년 협상팀 내 주도자에 대해 징역 2년6개월 형을 확정했다. 재판부는 "랜섬웨어 복구를 명목으로 피해자를 기망해 금전을 편취하거나 컴퓨터 수리를 빙자해 악성프로그램을 유포하는 범행 죄질이 불량하다"고 판결했다.

편집자주현실 세계에서 인질극이 벌어지면 누군가 신고를 하기 마련이다. 당한 사람이 직접 하든, 주변에서 대신 하든 빨리 경찰에 알리는 게 급선무다. 그런데 랜섬웨어로 인해 벌어지는 사이버 인질극은 정반대다. 피해기업은 돈과 시간을 해커에게 몽땅 빼앗기고도 철저하게 숨기 바쁘다. 지난 10년간 총 2만건이 넘는 랜섬웨어 공격에 대응해 온 이형택 한국랜섬웨어침해대응센터장은 "SK텔레콤처럼 해킹당하면 신고하는 기업은 극히 드물다고 봐야 한다. 피해를 보고도 외부에 절대 알리지 않는 기업이 10곳 중 9곳은 된다"며 "해커는 돈만 챙기고 떠나는 구조가 반복되고 있다"고 했다.

전영주 기자 ange@asiae.co.kr
박유진 기자 genie@asiae.co.kr
심나영 기자 sny@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>