[디지털데일리 김보민기자] 러시아 연계 사이버범죄 포럼 '램프(RAMP)'가 미국 연방수사국(FBI) 제재를 받았다는 소식이 나왔다. 올해 랜섬웨어 조직 '블랙바스타' 주요 운영자들이 덜미를 잡힌 가운데 국제 수사가 본격 성과를 내는 분위기다.
30일 보안업계에 따르면, 러시아 사이버범죄 포럼 RAMP 웹사이트에 접속하면 'FBI에 의해 압수됐다'는 안내문이 게시돼 있다. 미 법무부는 이번 조치에 대해 공식 입장을 밝히지 않고 있다.
압수 조치에 대한 진위 여부를 확인하기 어렵다는 의견도 있지만, 일각에서는 사이트 활동 자체가 중단된 것에 의의를 두는 시각도 있다. 비 골드몽 핑컴퓨터 등 외신은 "(현 RAMP) 도메인을 보면 FBI가 도메인을 압수했을 때 사용하는 서버로 변경돼 있다"고 주장했다. 보안기업 레코디드퓨처가 운영하는 더레코드도 "도메인네임시스템(DNS) 기록을 보면 RAMP 사이트가 FBI 검거에 사용되는 도메인으로 리디렉션되고 있다"고 보도했다.

웹 해킹과 취약점 정보를 공 바다이야기5만 유하는 XSS포럼에는 RAMP 압수 수색 사실을 알리는 글이 올라오고 있다. '스톨맨(Stallman)'이라는 닉네임을 쓴 한 사용자는 "경찰이 RAMP 포럼을 장악해 유감이다"라며 "이런 날이 오지 않기를 바랐지만 누구나 감수해야 할 위험"이라고 말했다.




R 바다이야기슬롯 AMP는 XSS포럼에서 랜섬웨어 공격에 대한 홍보가 금지된 이후 2021년 7월 개설된 포럼이다. 당시 RAMP 운영진은 랜섬웨어 취약점과 서비스를 홍보할 수 있는 "몇 안 남은 곳"이라고 홍보했고 이후 서비스형랜섬웨어(RaaS) 조직들이 조직원을 모집하거나 네트워크 접근 권한을 사고 팔기 위해 포럼을 활용했다. 피해자 정보와 유출 정보를 게시하는 용도로도 바다이야기#릴게임 사용했다. 러시아어뿐만 아니라 영어, 중국어 등 다국어 사용자들이 참여했다는 특징이 있다.
과거 '록빗(Lockbit) 2.0'과 같은 주요 범죄조직 제휴 프로그램과, ESXi 기반 캠페인 등 신규 공격 버전 또한 RAMP에서 이름을 알렸다. RaaS 시장을 활성화한 주역이었다는 평가를 받는 이유다.
RaaS는 사이버 백경릴게임 범죄자가 랜섬웨어를 배포하고 관리하는 데 필요한 도구와 서비스를 제공하는 사업 모델이다. RaaS 시장은 랜섬웨어 공급자가 도구와 인프라를 만들면 다른 해커에게 이를 판매하고 임대하는 방식으로 운영된다. 공급자는 월 정액제로 구독료를 청구하거나 제휴사 수익을 일정 비율 가져가는 방식으로 수익을 내왔다.
FBI 압수가 사실이라면 사법당국은 해당 포럼 운영자와 관련된 이메일 주소, 인터넷프로토콜(IP) 주소, 개인 메시지 등 범죄 사실을 입증할 데이터에 접근할 수 있게 된다. 위반 사실이 확인된 사용자에 대해서는 체포 등 조치가 취해질 가능성도 있다. 국내 사이버보안 업계 관계자는 "FBI 측 공식 입장이 필요한 시점"이라고 말했다.
사이버 범죄를 저지했다는 소식은 올해 초부터 이어지고 있다.
일례로 우크라이나와 독일 사법당국은 최근 블랙바스타에 근무한 혐의를 받은 우크라이나인 2명을 확인했다. 블랙바스타 수장으로 알려진 러시아 국적 올레그 예브게니예비치 네페도프도 유럽연합(EU) 수배자 명단과 인터폴 적색수배자 명단에 올랐다.
당시 우크라이나 경찰은 "용의자들은 보안 시스템에 대한 기술적 해킹을 전문으로 했고, 랜섬웨어를 이용한 사이버 공격을 준비하는 데 관여했다"고 밝혔다. 블랙바스타는 한국 기업을 노린 조직이기도 했다.
다만 단 한번 제재에 성공했다 하더라도 랜섬웨어 생태계를 저지하기 쉽지 않을 것이라는 관측도 나온다. 미국 국가정보국(ODNI) 산하 사이버위협 정보통합센터 로라 갈란테 전 국장은 "단 한 번의 작전으로 랜섬웨어를 영구적으로 근절할 수 없다"며 "대신 정기적으로 인프라를 차단하고 랜섬웨어 활동과 자금 세탁을 감시하는 곳을 지정해 작전 빈도와 범위를 늘려야 한다"고 제언했다.