미국 주요 기업들에 랜섬웨어(몸값을 요구하는 악성 프로그램) 공격을 가한 것으로 추정되는 러시아 연계 해커 집단인 ‘레빌(REvil)’이 돌연 자취를 감췄다. 최근 자국 기업들의 해킹 피해가 잇따르자 조 바이든 미국 대통령이 러시아에 보낸 ‘강경 대응’ 예고가 어느 정도 영향을 미친 게 아니냐는 해석이 나온다.
13일(현지시간) 미 일간 뉴욕타임스(NYT) 등에 따르면, 이날 오전 레빌의 다크웹 홈페이지가 인터넷상에서 갑자기 사라졌다. 이들로부터 해킹 피해를 입은 기업들을 상대로 금품을 요구하기 위해 만들어진 가상 결제 사이트도 모두 일시 폐쇄됐다.
레빌의 활동 중단 배경을 두고는 온갖 추정이 쏟아진다. NYT는 미국이 러시아를 압박하며 해커 집단들 단속에 나섰기 때문이라고 분석했다. 앞서 바이든 대통령은 이달 초 미 소프트웨어 업체 ‘카세야’가 사이버 해킹 공격을 당한 직후, 블라디미르 푸틴 러시아 대통령한테 전화해 “러시아(정부)가 해커 집단 저지를 위해 행동을 취해야 한다”고 구두 경고를 했다. 이어 러시아 측의 적절한 조치가 없다면 미국이 정면 대응에 나서겠다는 입장도 밝혔다. 미 사이버사령부(USCC)가 직접 레빌의 서버를 중단시켰을 가능성이 제기되는 이유다.
푸틴 대통령의 지시였을 수도 있다. 바이든 행정부와의 원만한 관계 형성을 위해 러시아 정부가 앞장서 레빌에 대한 제재 조치를 취했을 것이라는 추측이다. 영국 일간 더타임스는 과거 러시아 전직 해커를 인용해 “러시아 당국은 2010년부터 해커 그룹을 파악해 왔으며, (마음만 먹으면) 그들을 소탕하는 데 걸리는 시간은 2주로 충분하다”고 보도한 바 있다.
또 다른 시나리오는 레빌 스스로 활동을 멈췄을 가능성이다. 미 정부가 레빌을 예의주시하면서 노출 가능성이 커지자, 잠시 ‘은둔’에 들어간 게 아니냐는 얘기다. 이 경우엔 레빌이 곧 이름을 바꿔 활동을 재개할 것이라고 NYT는 내다봤다. 다만 미 인터넷보안업체인 레코디드 퓨처의 앨런 리스카 수석연구원은 “레빌이 자발적으로 활동을 중단했다면 관련 메시지가 있었을 텐데, 홈페이지 등이 일시에 폐쇄됐다는 점에 비춰 외부의 조치에 따른 결과인 것 같다”고 말했다.
레빌은 올해 5월 세계 최대 정육업체 중 한 곳인 브라질 JBS를 해킹한 후, 정상화를 원하면 1,100만 달러(126억5,000만 원)를 달라고 요구했다. 같은 달 초, 미 송유관업체 콜로니얼 파이프라인 랜섬웨어 공격의 배후로도 레빌이 지목됐다.