NSA 해킹한 ‘섀도우 브로커스’ 배후는?

Joshua Phillip
2016년 12월 27일 업데이트: 2019년 10월 27일

지난 8월 돈을 노린 한 해커 조직이 등장해 전 세계의 이목을 끌었다. ‘섀도우 브로커스’ 라는 이름의 해커 조직은 특정 해킹 코드를 경매에 붙인 후 미 국가안보국(NSA)을 해킹해 탈취한 것이라고 주장했다.

러시아 정부가 섀도우 브로커스의 배후 세력일 것이라는 의혹이 불거진 가운데, 한 기업의 연구원이 수수께끼의 배후 인물을 파악한 것으로 알려져 화제다. 베일에 감춰진 인물은 특정 정부의 비밀 요원이나 유명 사이버 범죄 집단이 아니라, 무심코 사용한 가명 때문에 꼬리가 잡힌 러시아 출신 해커로 추정된다.

민간 첩보 기업 블랙캅스사이버(BOC)의 한 연구원은 섀도우 브로커스의 근원인 한 VK 계정을 찾아냈다. VK는 유럽에서 널리 사용되는 유명 SNS 중 하나이다. 그 계정의 주인은 러시아 쿠르간 시에 거주 중이며 키릴(Kirill)이란 성을 쓰는 인물이었다.

사기꾼을 찾아라

섀도우 브로커스의 계정은 잠잠해졌고 배후 인물로 간주된 러시아인의 계정은 이후 삭제됐다. BOC의 추적이 이 두 사건의 원인이었을 수도 있다. 섀도우 브로커스가 해킹 툴을 경매에 붙인 후 BOC는 이 사건을 추적하기 시작했다.

현재 가장 유력한 설은 섀도우 브로커스가 데이터를 해킹한 적이 아예 없다는 것이다. 대신 NSA의 계약직 직원이었던 해럴드 T 마틴 3세(Harold T. Martin III)로부터 해당 코드를 구매한 것으로 보인다. 해당 직원은 지난 8월 체포됐으며, 그가 NSA로부터 유출한 문건이 섀도우 브로커스가 팔고자 한 내용과 일치하는 것으로 알려졌다.

섀도우 브로커스를 분석하던 연구원은 이 이름과 연관된 또 다른 계정을 찾아냈다. 섀도우 브로커스가 트위터에서 사용한 눈이 여러 개 달린 생명체의 이미지가 비디오 게임 ‘매스 이펙트’에 등장하는 캐릭터와 같다는 점에서 착안한 결과다.

BOC 보고서에 따르면 게임 내에서 이 생명체는 ‘은하계 정보 브로커’로 활동하는 섀도우 브로커 조직의 일원이라고 한다. BOC는 비슷한 이름과 이미지를 사용하는 온라인 계정들을 접촉해 섀도우 브로커스의 공식 계정과 유사한 반응을 보이는 계정을 찾았다.

탐색 결과 섀도우 브로커스의 경매 내용을 활발히 선전하는 또 다른 트위터 계정을 찾아냈는데 이 트위터 계정과 한 VK 계정이 연관된 것으로 보였다. 이 VK 계정 또한 동일한 이미지를 사용했고 둘 다 영어가 서투르다는 공통점이 있었다. 해당 VK 계정은 러시아 쿠르간 시에 거주 중인 젊은 남성의 것으로, 고등학교를 졸업한 후 비디오 게임 샵을 운영하는 키릴이란 인물이었다.

해당 계정을 파악한 후 BOC 팀은 섀도우 브로커스의 트위터 주 계정에 ‘안녕, 키릴’ 이란 짧은 포스팅을 올렸다. 트윗을 올리자마자 VK 계정 주인은 프로필 사진과 개인 VK 계정을 삭제했다.

BOC의 선임 연구원인 에드 알렉산더(Ed Alexander)는 이러한 행동이 곧 두 계정의 주인이 동일 인물이라는 증거라고 주장했다. “동일 인물이 아니면 VK 계정을 없애 버릴 이유가 없죠. 아마 깜짝 놀라 지웠을 겁니다.” 알렉산더의 말이다.

최고 입찰자는 누구?

90년대 해커 영화에서 나올 법한 방식으로 섀도우 브로커스는 첫 등장을 전 세계에 알렸다. 이들은 8월 13일 ‘@theshadowbrokerss’ 이란 트위터 계정에 파일을 다운로드하고 암호화 하는 방법에 대한 링크를 올렸다. 섀도우 브로커스는 자신들이 NSA와 연관된 것으로 알려진 해커 조직 ‘이퀘이션 그룹(Equation Group)’으로부터 해킹한 코드가 해당 파일에 담겨 있다고 주장했다.

서툰 영어로 작성된 포스트를 통해 섀도우 브로커스는 이 파일이 이퀘이션 그룹으로부터 해킹한 대규모 파일 중 일부에 지나지 않으며 최고 금액 입찰자에게 해당 코드를 판매하겠다고 밝혔다.

“우리가 이퀘이션 그룹을 해킹했다. 우리는 이퀘이션 그룹의 수많은 사이버 무기를 발견했다.” 또한 섀도우 브레이커스는 해당 코드를 이용해 “많은 것들을 해킹하고, 잘 사용하시라”고 격려까지 했다.

이후 섀도우 브로커스는 유출 파일이 전체가 아니며 최고의 파일만 경매에 부칠 것이라고 밝혔다. BOC 연구원 알렉산더는 해당 파일은 실제 해킹 코드인 것으로 보인다고 분석했다.

해당 포스팅과 이후 섀도우 브로커스가 올린 포스팅들은 대중 매체들의 뜨거운 관심을 받았으며, 그 배후에 대한 각종 의혹들이 제기됐다. 사이버 보안 업체 소포스(Sophos)는 블로그를 통해 해당 파일은 진짜 해킹 코드가 맞으며 이퀘이션 그룹이 ‘부주의하게 원격 서버에 남긴’ 해킹 툴에서 유출된 것으로 보인다고 밝혔다.

NSA의 해커 에드워드 스노든(Edward Snowden) 또한 같은 견해를 밝혔다. 8월 16일 일련의 트위터 포스팅을 통해 “정황 증거 및 일반 통념으로 비춰 볼 때 러시아 측이 개입한 것으로 보인다”고 주장했다.

한편 이러한 대중의 관심이 섀도우 브로커스가 원하던 큰 돈으로 이어지지는 못했다. 10월 1일까지 총 입찰 금액은 1.76비트코인으로 고작 1083달러에 그쳤다. 이후 섀도우 브로커스는 미디엄이라는 SNS에서 코드가 진짜임을 강조하며, “경매에 붙였다는 게 터무니없이 들릴 수도 있겠지만 진짜”라고 밝히고 입찰자들을 독려했다.

BOC 연구원 알렉산더는 섀도우 브로커스가 팔려고 했던 해킹 툴의 위험성이 크기 때문에 이 사건이 중요하다며 “멕시코 등 사이버 보안이 강력하지 않은 국가는 구식 해킹 툴로도 정보 유출이 얼마든지 가능하다”고 덧붙였다.

위 기사 내용은 본사의 편집방향과 다를 수 있습니다

추천