[디지털데일리 이종현기자] 전 세계적으로 가장 위험한 해킹조직을 꼽으면 꼭 들어가는 이름들이 있다. 러시아 해킹조직 콘티(Conti)나 북한 해킹조직 라자루스(Lazarus) 등이 대표적이다. 그런데 지난 5월 콘티는 돌연 활동 중단을 선언했다. 가장 큰 위험요소 중 하나가 사라져 안심하려는 찰나, 콘티의 조직원이 다른 이름으로 활동을 재개한 정황이 포착됐다.
21일(현지시각) 시큐리티볼러바드(Security Boulevard)는 콘티의 활동 조직원 일부가 다른 이름으로 활동을 재개했다고 보도했다.
가장 먼저 의심받은 것은 블랙바스타(Black Basta)다. 블랙바스타는 지난 4월경 등장한 신생 랜섬웨어 그룹이다. 등장 초기부터 수십개 기업을 랜섬웨어에 감염시키며 주목을 받았는데, 지나치게 능숙한 운영에 ‘중고 신입’이 아니냐는 의혹을 받아왔다. 이어서 블랙바이트(BlackByte)와 카라크루트(Karakurt)도 의심 선상에 이름을 올렸다.
미국 보안업체 인텔471(Intel471)은 연구 끝에 블랙바스타는 콘티의 조직원들이 이름을 바꾼 것으로 의심된다고 발표했다. 랜섬웨어를 감염시키는 전술·기술·절차(TTP), 웜(Worm) 기능 등이 콘티와 거의 유사하다는 분석이다.
인텔471 정보 담당 이사 브래드 크롬튼(Brad Crompton)는 “경쟁업체가 문을 닫은 뒤 인재를 모집하려는 회사와 같다고 보면 된다. 콘티의 조직원들이 프리랜서로 일하거나, 다른 그룹에 합류해 해당 그룹의 위험도를 높일 수 있다”며 “콘티 행위자 또는 산하조직이 현재 운영 중인 가장 활발한 서비스형 랜섬웨어(RaaS) 그룹 중 일부로 분기했다는 것은 매우 심각한 문제”라고 피력했다.
시큐리티볼러바드는 보안 및 운영 분석 서비스형 소프트웨어(SaaS) 기업 관계자의 말을 인용, 법 집행기관이 범죄자들의 움직임을 포착하는 것도 중요하나 기업도 주의를 기울여야 한다고 강조했다.
한편 콘티는 우크라이나 전쟁 직후 러시아 정부를 지지한다고 성명을 발표한 바 있다. 그러나 일부 조직원들이 우크라이나를 지지하고 나서며 내분이 발생됐고, 조직원간 대화가 유출되는 지경까지 이르렀다.
유출된 대화는 2020년 6월부터 2022년 3월까지 러시아로 주고받은 대화다. 보안업체의 분석에 따르면 콘티는 18개월간 약 1000억원의 매출을 거뒀고, 최소 350명이 속한 것으로 파악됐다. 미국 법무부는 지난 5월 콘티에 1500만달러(약 196억원)의 현상금을 걸기도 했다.