해커 조직, 다크웹에서 광고까지…무슨 일?

[이데일리 최연두 기자] 최근 랜섬웨어 공격 조직들이 수익화 모델을 다각화하고 있는 것으로 나타났다. 기존에는 기업이나 기관으로부터 갈취한 금전이나 다크웹에서의 데이터 판매를 통해 조직 운영 비용을 충당했지만, 이제는 자체 블로그에 유료 광고 공간을 제공하는 방식으로 수익을 확대하고 있다는 분석이 제기되고 있다.

랜섬웨어는 해커가 기기를 잠그거나 파일을 암호화해 기기 주인에게 몸값을 요구하는 사이버 공격 수단이다. 다크웹은 익명성을 보장하는 네트워크 기술이 적용된 인터넷 공간으로, 범죄 활동이 이루어지는 곳으로 알려져 있다.

PC 앞 이용자의 모습(사진=픽사베이)

8일 안랩(053800)이 공개한 ‘2024년 7월 딥웹·다크웹 보고서’에 따르면, 신생 랜섬웨어 조직 브레인사이퍼(Brain Cipher)가 지난달 초 자체 다크웹 블로그에 광고 공간을 제공하겠다는 글을 게시한 것으로 나타났다.

브레인사이퍼는 올해 6월 등장한 신생 해커 조직으로, 같은 달 인도네시아 국가데이터센터를 대상으로 한 랜섬웨어 공격의 주범으로 지목되며 보안 업계의 주목을 받았다. 이 공격으로 인해 인도네시아 내 200개 이상의 정부 및 공공기관이 업무에 차질을 빚었다.

흥미로운 점은 브레인사이퍼가 공격 후 데이터 복호화 도구를 무료로 제공하는 비정상적인 행보를 보였다는 점이다. 일반적으로 랜섬웨어 조직은 피해 기업이나 기관에 금전을 요구하며 복호화 도구를 협상 수단으로 사용하는데, 브레인사이퍼는 이러한 통상적인 방식을 따르지 않고, 자신들의 공격을 일종의 ‘보안 테스트’로 정당화하려는 태도를 보였다.

해커들이 광고 사업에 손을 대는 이유는 인터넷 광고가 효과적인 홍보 수단이 될 수 있기 때문이다. 안랩 관계자는 “해커들이 실제 수익을 기대하기보다는 외부의 관심을 끌기 위한 목적이 더 클 것으로 보인다”며, “다크웹 방문자 대부분이 피해자나 유출된 데이터를 모니터링하는 보안 업계 관계자들이기 때문에 광고 효과는 크지 않을 것”이라고 설명했다.

김승주 고려대 정보보호대학원 교수는 “다크웹은 해커들이 자체 사이트 등을 구축해 거래를 홍보하는 수단”이라며, “광고 공간을 제공하면 사이트를 별도로 구축하지 않아도 되어 더 편리하고 이용하기도 수월할 것”이라고 말했다.

일각에서는 해커들이 수익을 극대화하려는 전략으로 분석하기도 한다. 국내의 한 화이트 해커 출신 관계자는 “랜섬웨어 공격으로 벌어들인 자금을 선순환시키려는 목적이 크다”며, “다크웹에서는 신원을 드러내지 않고도 돈을 받을 수 있어 수익 모델을 더 적극적으로 확대하려는 것”이라고 평가했다.