국제 수사기관 연합이 지난 2월 압수한 세계 최대 랜섬웨어 그룹 '록빗'의 다크웹 사이트를 다시 열어 록빗 관리자와 다른 구성원 등 신원을 공개하겠다고 밝혀 이목을 끌고 있다. 국제 수사기관 연합은 주어진 시간까지 협상에 응하지 않으면 탈취한 정보를 공개하겠다며 랜섬웨어 피해자를 협박하는 록빗의 방식과 동일하게 공개 시점을 카운트다운을 하고 있다.
7일 정보보호업계와 외신 등에 따르면, 영국 국립범죄청(NCA)과 미국 연방수사국(FBI), 유로폴(유럽연합 법집행협력청) 등 국제 수사기관 연합은 최근 록빗이 탈취한 데이터를 유출하는 데 사용한 다크웹 사이트를 다시 열었다. 이 다크웹 사이트는 국제 수사기관 연합이 지난 2월 '크로노스 작전'을 통해 압수한 사이트다.
국제 수사기관 연합은 협정세계시(UTC) 기준 오는 7일 오후 2시(한국시간 7일 오후 11시)를 공개 시점으로 정하고, 보도자료(Press Releases)를 공개할 것을 시사했다. 보도자료엔 어떤 내용이 담길지 아직 알려지지 않았다. 특히 해당 시점에 록빗 관리자인 'LockBitSupps'과 록빗 구성원들의 신원을 공개할 예정이다.
사이트 상단엔 NCA와 FBI, 유로폴 로고와 함께 '이 사이트는 영국, 미국, 크로노스 태스크포스(TF) 통제 하에 있다'는 문구가 달려 있다.
반면 록빗은 국제 수사기관 연합이 거짓말을 하고 있다고 주장했다. 보안 전문 외신 등에 따르면, 한 X(옛 트위터) 계정을 통해 “왜 이런 작은 쇼를 벌이는지 이해할 수 없으며, 수사기관들이 우리가 지속적으로 일하는 데 화가 난 게 분명하다”면서 “새로운 피해자를 계속해서 만들겠다”고 전했다.
앞서 국제 수사기관 연합은 크로노스 작전을 통해 록빗의 인프라 일부를 압수했고, 이들이 범죄 통로로 삼았던 다크웹 접속 사이트 등도 폐쇄했다. 그러나 록빗은 인프라를 압수당한 지 5일 만에 새로운 다크웹 접속 사이트를 통해 활동을 재개했다.
록빗은 2019년께 등장했다. 이후 피해자 2000여명으로부터 1억2000만달러(1600억원)를 갈취했으며, 세계 랜섬웨어 시장의 20% 이상을 차지하는 것으로 추정된다.
정보기술(IT) 전문 매체 테크 크런치는 이와 관련해 사만다 쉐로 FBI 대변인은 “노 코멘트”라 답했으며, NCA는 의견 요청에 응답하지 않았다고 보도했다.
조재학 기자 2jh@etnews.com