美가 쫓는 해킹집단 콘티, 실태 드러나…"350명이 분업화"

니혼게이자이신문, 콘티 채팅 내용 분석
645개 계좌에 1174억원어치 코인 보유
여러 계좌에 나눠 보관해 당국 추적 회피
분업화된 체계 하에서 350명이 활동

이미지투데이

미국이 최근 현상금을 내걸었던 세계 최대 해킹집단 '콘티'가 지난 1년 반 동안 해킹 공격으로 1000억원에 달하는 암호화폐를 탈취한 것으로 드러났다. 수백 명의 해커가 분업화된 체계 하에 세계 각국의 기업과 공공기관에 사이버 공격을 감행하고 있다는 정황도 확인됐다.


16일 니혼게이자이신문은 최근 유출된 콘티의 2020년 6월부터 올해 3월까지 채팅 애플리케이션 대화 내용을 분석해 이같이 보도했다. 채팅 내용은 앞서 2월 콘티가 러시아의 우크라이나 침공을 지지하는 성명을 낸 것에 반발하는 조직원이 유출한 것으로 알려졌다. 러시아어로 이뤄진 채팅은 총 700만 자에 달한다.


분석 결과, 콘티는 645개의 비트코인 계좌에 2321개 코인을 보관하고 있었다. 올해 3월 기준으로 약 118억엔(1174억 원)에 달하는 양이다. 이 중 외부에서 '랜섬웨어 몸값'으로 입금한 것으로 보이는 금액은 99억 6000만엔(약 992억원)이었다.


또 콘티는 비트코인을 입금받은 후 이를 분할해 다른 계좌들로 옮기고 있는 것으로 나타났다. 보안회사 미쓰이물산시큐어디렉션의 요시카와 타카시 분석가는 "수사기관의 추적을 피하기 위해 단기간에 자금을 움직이려는 것"이라며 "비트코인 거래소나 다크웹 같은 경로에서 현금화를 하려는 것으로 보인다"고 설명했다.


신문은 콘티가 별도의 지도부 하에 섭외·홍보와 인사 등 기능을 분업하는 방식으로 운영된다고 분석했다. 콘티가 공격 작전을 논의하는 채팅방에는 350명이 참가하고 있는데, 이 중 발언 횟수가 1000번을 넘은 이들은 35명으로 소수다. 대부분의 참가자들은 해킹 실행 멤버로, '긱(gig) 노동자'처럼 단발성 공격에 참여한다고 한다.


또 신문은 "채팅엔 콘티와 러시아 연방 보안국(FSB)과의 관계를 칭찬하는 언급도 있었다"며 콘티가 러시아와 연관이 있다는 일각의 주장에 힘을 더했다. 나아가 "우크라이나 침공에 대한 서방의 제재로 러시아 경제가 곤궁에 빠지면 콘티의 활동이 활발해질 우려가 있다"고 지적했다.


콘티는 전세계 각국 기업에 사이버 공격을 가해 금전을 요구하는 '랜섬웨어' 해킹 조직이다. 2020년 5월께부터 활동이 본격화됐다. 최근엔 기업뿐 아니라 아일랜드 보건 당국, 코스타리카 과세 당국을 공격하기도 했다. 피해가 잇따르며 미국 국무부는 이달 초 콘티를 잡기 위해 최대 1500만 달러의 현상금을 걸었다.


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>