해커들의 살해 협박, 오히려 ‘최악의 실수’가 되다
사이버 보안 연구원 앨리슨 닉슨은 폭력과 해킹 캠페인을 주도한 온라인 그룹 연합체 ‘컴(Com)’의 회원 수십 명을 체포하는 데 기여했다. 그러나 이 과정에서 그녀는 결국 해커들의 직접적인 표적이 되고 말았다.
위협은 2024년 봄에 시작됐다.
같은 해 4월, ‘와이푸(Waifu)’와 ‘유디셰(Judische)’라는 온라인 닉네임을 번갈아 사용하는 신원 불명의 인물들이 텔레그램과 디스코드 채널에 사이버 보안 연구원 앨리슨 닉슨(Allison Nixon)을 겨냥한 살해 위협을 게시하기 시작했다.
와이푸/유디셰는 “앨리슨 닉슨은 곧 휘발유를 채운 타이어를 목에 걸고 화형을 당할 것이다. 뇌 제거가 내가 가장 좋아하는 뇌사 방식인데, 앨리슨 닉슨이 그렇게 죽을 것이다”라고 썼다.
곧이어 다른 이들도 위협에 가세했다. 일부는 AI로 생성한 닉슨의 누드 사진을 공유하기도 했다.
이 익명의 인물들이 닉슨을 표적으로 삼은 이유는 그녀가 그들에게 실질적인 위협이 됐기 때문이다. 닉슨은 명탐정 셜록 홈즈의 주소인 ‘221B 베이커 스트리트’에서 이름을 딴 사이버 수사 기업 ‘유닛 221B’의 최고연구책임자로, 사이버 범죄자들을 추적하고 체포하는 데 기여하며 경력을 쌓아왔다.
그녀는 수년간 온라인 채팅방에 잠복하거나 가명을 사용해 가해자들과 직접 접촉하며, 그들이 자신과 범죄에 대해 무심코 흘린 단서들을 수집했다. 이를 통해 수많은 사이버 범죄자들, 특히 스스로를 ‘컴(Com)’이라 칭하는 무정부주의 성향 해커들을 법의 심판대에 세우는 데 기여했다.
하지만 컴의 회원들은 해킹만 저지르는 것이 아니다. 이들 중 일부는 자신을 추적하는 연구원들을 상대로 오프라인 폭력도 자행한다. 여기에는 벽돌 투척, 허위 살인·인질 신고를 통해 SWAT 팀이 현장에 출동하도록 만드는 위험한 범죄도 포함된다.
컴의 분파 조직인 ‘764’ 소속 일부 회원들은 동물 학대, 흉기 범죄, 학교 총기 난사 위협 등 더욱 폭력적인 행위를 저질렀거나, 컴 내외부 인물들에게 이러한 범죄를 선동한 혐의까지 받고 있다.
닉슨은 10여 년 전부터 이 커뮤니티 회원들을 추적하기 시작했다. 당시 다른 연구자들과 법 집행 기관은 이들이 대부분 10대 청소년이라는 이유로 큰 관심을 두지 않았다. 그러나 닉슨의 지속적인 관심은 이들의 정체를 밝혀내는 전략을 개발하는 데 도움이 됐다.
FBI 요원 라이언 브로건(Ryan Brogan)은 2011년 닉슨과 협력한 이후, 그녀의 도움으로 자신과 동료들이 20명 이상의 컴 회원을 찾아내 체포할 수 있었다고 말했다. 그는 “그들의 정체를 밝혀내는 닉슨의 기술은 타의 추종을 불허한다”고 말했다.
10년 넘게 이 일을 해왔지만, 닉슨은 와이푸/유디셰 계정 뒤에 숨은 인물이 왜 이제 와서 자신을 위협하기 시작했는지 이해할 수 없었다. 그녀는 컴에 대해 언론 인터뷰를 한 적은 있었지만, 회원들의 신원을 밝혀 체포하는 자신의 작업에 대해서는 구체적으로 언급한 적이 없었기 때문이다.
과거 와이푸/유디셰가 저질렀다고 자랑한 범죄들에 관심을 가진 적은 있었지만, 위협이 시작될 당시 닉슨은 다른 표적을 추적 중이었고, 와이푸/유디셰는 한동안 그녀의 관심 밖에 있었다.
이제 닉슨은 와이푸와 유디셰뿐 아니라 자신에게 살해 위협을 가한 다른 인물들의 신원을 밝혀내고, 이들을 체포하기로 결심했다.
닉슨은 “그들이 내게 살해 위협을 가하기 전까지는 그들을 주목할 이유가 전혀 없었다”고 말했다.
컴의 시작
대부분의 사람들은 컴에 대해 들어본 적이 없지만, 컴의 영향력과 위협은 점점 더 커지고 있다.
컴은 주로 북미와 유럽의 영어권 지역에 거주하는 10대와 20대 청년로 구성된 그룹들로 이루어진 온라인 커뮤니티다.
지난 10년간 그들의 범죄 활동은 웹사이트를 마비시키는 디도스(DDoS) 공격에서 시작됐다. 이후 피해자의 휴대전화 번호를 자기 유심으로 옮겨서 인증 문자·통화를 가로채 계정을 탈취하는 수법, 암호화폐 절도, 랜섬웨어 공격, 기업 데이터 도난 등으로 확대됐다. 이러한 범죄는 AT&T, 마이크로소프트, 우버 등 기업들을 위협해왔다. 컴 회원들은 피해자에게 자해나 성적 행위를 강요하는 다양한 형태의 성착취에도 연루됐다. 컴의 영향력은 디지털 영역을 넘어 납치, 폭행 등 실제 폭력 범죄로까지 확대됐다.
한 사이버 범죄 연구원은 컴이 러시아나 중국 못지않은 사이버 위협을 가하고 있다고 말했다.
심지어 북한, 중국, 러시아마저도 국제법과 규범, 보복에 대한 두려움 때문에 무조건 사이버 공격을 하지는 않지만, 무정부주의적 성향의 컴은 그런 제약을 받지 않기 때문이란 것이다.
그는 “상당히 심각한 위협인데도 사람들은 ‘그냥 애들 장난’이라며 무시하는 경향이 있다”면서 “하지만 그들이 미친 피해는 매우 크다”고 지적했다.
브로건은 컴이 초래하는 금전적 손실 규모가 순식간에 어마어마해질 수 있다고 경고했다.
컴 회원들이 한곳에 모이는 단일 사이트는 없다. 그들은 여러 웹 포럼과 텔레그램, 디스코드 채널에 흩어져 있다. 컴은 지난 20년간 온라인에서 등장해 악명을 떨쳤다가 주요 회원 체포나 기타 요인으로 쇠퇴하거나 사라진 수많은 해킹 및 서브컬처 커뮤니티의 계보를 잇는다. 닉슨에 따르면 컴의 뿌리는 컴퓨터 게임, 음악, 영화 해적판 유통에 종사하던 다양한 ‘웨어즈(warez)’ 그룹들의 공동체로 시작된 ‘씬(Scene)’으로 거슬러 올라간다.
2011년 닉슨이 ‘씬’을 연구하기 시작했을 당시, 씬의 회원들은 게임 계정을 탈취하고, 디도스 공격을 실행하며, 부터(booter) 서비스를 운영하고 있었다(디도스 공격은 봇으로 제어되는 기계들의 트래픽으로 서버나 컴퓨터를 마비시켜 정상적인 트래픽이 통과하지 못하게 하는 공격이다. 부터는 누구나 대여하여 원하는 대상에 디도스 공격을 실행할 수 있는 도구다.). 그들은 어느 정도 수익을 올렸지만 주요 목표는 악명을 얻는 것이었다.
2018년경 변화가 찾아왔다. 암호화폐 가치가 상승하면서 ‘컴’은 결국 ‘씬’을 장악했고, 이후 암호화폐 절도, 데이터 도난, 갈취 등 금전적 이익에 집중하기 시작했다.
2년 후 팬데믹으로 컴 회원 수가 급증했는데, 닉슨은 이를 사회적 고립과 온라인 수업으로 강제 전환 탓으로 분석한다. 그러나 그녀는 경제적 여건과 사회화 문제 역시 컴의 성장 동력이었다고 본다. 실제로 많은 컴 회원들은 기술 부족이나 행동 문제로 취업이 불가능한 상태라는 게 닉슨의 설명이다. 체포된 컴 회원 중 상당수는 가정에 문제가 있었고, 학교 적응에 어려움을 겪었으며, 일부는 정신 질환 징후를 보였다. 그런 면에서 컴은 동료애와 지지, 개인적 좌절감을 발산할 통로를 제공했다. 2018년 이후로는 일부에게 금전적 문제 해결책도 제시해왔다.
이 커뮤니티에서 느슨하게 연결되어 있는 스타 프라우드(Star Fraud), 샤이니헌터스(ShinyHunters), 스캐터드 스파이더(Scattered Spider), 랩서스$(Lapsus$) 같은 집단들이 범죄 클러스터를 구성하기 위해 협력하기 시작했다. 법원 기록에 따르면 이들은 주로 유명 암호화폐 브로(bro)와 기술 대기업을 표적으로 삼아 절도와 갈취로 수백만 달러를 챙겼다.
해커 사냥꾼의 등장
2011년 컴의 뿌리가 된 커뮤니티들을 처음 조사하기 시작했을 때 닉슨은 보안 회사 시큐어웍스(SecureWorks)의 보안 운영 센터에서 근무하고 있었다. 이 센터는 고객 네트워크에서 발생하는 보안 경보에 대응하는 일을 하고 있었다. 이후 닉슨은 주로 중국과 러시아의 국가 지원 해킹 그룹에 대한 위협에 관한 정보 보고서를 조사하고 발표하는 회사의 위협 대응팀에서 일했다.
위협 대응팀은 침입 방법과 탈취한 정보 등 해커들이 고객 네트워크에 미치는 영향에 집중한 반면, 닉슨은 그들의 동기와 행동을 이끄는 성격적 특성에 더 관심이 있었다. 그녀는 범죄 해커들이 모이는 온라인 포럼이 분명 존재할 거라 생각했다. 그녀는 ‘해킹 포럼’을 검색해 ‘해킹 포럼스(Hack Forums)’라는 사이트를 찾아낸 뒤 그곳에서 회원들이 자신의 범죄를 공개적으로 논의하는 모습을 보고 충격을 받았다.
당시 많은 사이버 보안 전문가들은 사이버 범죄보다 국가 주도의 해킹 작전에 더 관심을 쏟고 있었다. 하지만 닉슨은 남들이 가는 길과 반대 방향으로 가는 걸 좋아했고, 동료의 무관심은 오히려 그녀의 관심을 부채질했다. 시큐어웍스의 동료 두 명도 같은 관심을 보였고, 세 사람은 근무 중 쉬는 시간에 포럼을 연구했다.
닉슨이 알아낸 포럼들에는 초보자도 쉽게 접근할 수 있었다. 위협 정보 팀이 해킹 사고를 조사하려면 피해자 네트워크에 대한 특권적 접근 권한이 필요하다. 그러나 닉슨은 공개 포럼에서 필요한 모든 정보를 얻을 수 있었다. 해커들은 아무도 자신들을 지켜보지 않는다고 생각했기 때문이다. 이 때문에 그들은 종종 ‘운영 보안(OPSEC)’ 면에서 실수를 저질렀다. 거주 도시, 다녔던 학교, 이전 직장 같은 사소한 개인 정보를 흘리는 식이었다. 채팅에서 드러난 이런 세부 정보는 다른 정보와 결합되어 익명 가면 뒤에 숨은 해커들의 진짜 정체를 알아내는 데 유용했다.
“그들이 누군지 알아내는 게 상대적으로 쉬웠다는 사실에 충격을 받았다.” 닉슨은 말했다.
닉슨에 따르면 포럼 회원 중 일부는 진정한 독창성과 강력한 기술을 선보였지만, 은행 계좌를 털기보다는 게이머 계정을 탈취하는 등 사소한 목적에 이를 활용했기 때문에 연구자와 법 집행 기관으로부터 주목을 받지 못했다. 하지만 닉슨은 이들이 결국 더 중요한 표적을 노릴 거라 직감하며 추적하기 시작했고, 그녀의 직감은 정확했다. 그리고 그들이 실제로 그렇게 했을 때 그녀는 이미 그들에 대한 방대한 정보를 축적한 상태였다.
그녀는 2년간 디도스에 대한 연구를 계속하다가 2013년 전환점을 맞았다. 사이버 범죄자 추적으로 명성을 얻은 사이버보안 저널리스트 브라이언 크렙스(Brian Krebs)와 얽힌 사건 때문이었다.
보안 커뮤니티에 속해 있던 약 12명이 크렙스와 협력해 가해자를 폭로했고, 이 과정에서 닉슨도 도움에게 도움을 요청했다. 크렙스는 그녀에게 수사 단서를 보내왔고, 결국 그룹은 범인을 특정했다. 비록 범인이 체포되기까지 2년이 걸리긴 했지만 말이다. 크렙스와 다른 수사관들과의 저녁 식사에 초대받았을 때 그녀는 자신이 진정한 동료를 찾았음을 깨달았다.
“내게는 놀라운 순간이었다. ‘이렇게 많은 동지들이 단순히 도움을 주고 싶어 하고, 기본적으로 이 일 자체를 사랑해서 하는구나’라는 생각이 들었다.”
한 발 앞서 나가기
그녀가 연구할 다음 주제는 포르노 배우들과 관련돼 있었다. 이는 그녀가 주요 위협으로 부상하기 전 초기 단계에서 컴 회원들과 그들의 범죄 트렌드를 포착하는 능력을 입증할 수 있는 계기가 됐다.
2018년, 누군가가 특정 성인 영화 배우들의 소셜 미디어 계정을 탈취해 배우들의 팔로워들에게 암호화폐 사기를 퍼뜨리고 있었다. 닉슨은 해커들이 어떻게 소셜 미디어 프로필을 탈취했는지 파악하지 못했지만, 배우들에게 해커들이 계정을 장악한 기간 동안 그들과 주고받은 사적인 메시지를 자신에게 보여준다면 계정 접근권을 되찾을 수 있게 도와주겠다고 약속했다. 닉슨은 이렇게 해서 받은 메시지를 분석한 끝에 해커들이 계정 탈취 방법을 논의하는 포럼에 도달했다. 해커들은 일부 배우들을 속여 다른 배우들의 휴대폰 번호를 유출하게 한 뒤 SIM 스와핑 기법을 이용해 그 다른 배우들의 소셜 미디어 계정 비밀번호를 재설정하고 접근을 차단했다.
이는 범죄자가 피해자의 전화번호를 자신이 통제하는 SIM 카드와 휴대전화에 연결해, 원래 피해자에게 전달돼야 할 전화와 문자 메시지를 가로채는 방식이다. 이 과정에서 계정 로그인이나 비밀번호 변경 시 본인 확인을 위해 전송되는 일회용 보안 인증번호(OTP) 문자까지 범죄자에게 전달된다.
포르노 배우 관련 사건 중 일부에서는 해커들이 통신사 직원을 속여 합법적인 사유로 생각되는 SIM 스와핑을 수행하게 했다. 통신사 직원에게 뇌물을 주고 변경을 강요한 경우도 있었다. 이후 해커들은 배우들의 소셜 미디어 계정 비밀번호를 변경하고 소유자를 차단한 뒤 해당 계정을 이용해 암호화폐 사기를 홍보했다.
SIM 스와핑은 암호화폐뿐 아니라 은행 계좌 전체를 탈취해 자금을 빼낼 수 있는 강력한 기법이다. 당시 SIM 스와핑은 금융 사기에 거의 활용되지 않았으며, 닉슨이 해킹 포럼에서 목격했던 초기 해커들처럼 포르노 배우 계정을 탈취한 이들 역시 자신이 사용하는 기술의 위력을 제대로 인지하지 못하는 듯했다. 닉슨은 조만간 SIM 스와핑이 곧 주요 위협이 될 것이라 예상하고 이쪽으로 연구 방향을 틀었다. 사기꾼들도 방향을 바꾸는 데 오래 걸리지 않았다.
닉슨은 온라인에서 해커들의 통신 내용을 수집하고 기록하는 도구를 개발하다 컴 채팅방과 포럼에 대한 정보도 수집하기 시작했다.
그녀는 여러 해 동안 자신이 조사하던 온라인 채팅방과 커뮤니티를 수집·보존해 왔다. 이후 2020년 초 유닛 221B에 합류하면서 텔레그램과 디스코드 등에서 활동하던 ‘컴’ 조직의 채널을 본격적으로 분석할 기회를 얻었다. 닉슨은 수집한 방대한 자료를 정리해 수사기관과 연구자들이 활용할 수 있는 검색형 플랫폼 ‘이위트니스(eWitness)’를 구축했다.
이 플랫폼은 초기에 닉슨이 직접 확보한 자료로 시작됐지만, 이후 다른 사용자들이 수집한 데이터까지 추가되며 규모가 확대됐다. 일부 자료는 현재 공개 공간에서는 더 이상 확인할 수 없는 내용도 포함돼 있다.
브로건은 “이위트니스는 매우 가치 있는 도구”라며 “닉슨은 단순 수집을 넘어 온라인 공간에서 직접 가담자들과 소통하며 일반적으로 얻기 어려운 정보를 끌어낸다는 점에서 독보적”이라고 평가했다.
닉슨의 자료 축적 시기는 코로나19 팬데믹과 맞물리며 더욱 중요해졌다. 이 시기 컴의 회원이 급증했고, 성착취와 폭력을 중심으로 한 하위 조직 ‘CVLT’와 ‘764’가 등장했다. 닉슨은 이들이 초기 활동을 시작할 때부터 대화를 확보했으며, 이후 수사기관이 서버를 장악하면서 관련 자료가 사라지기 전까지 기록을 남겼다.
CVLT는 2019년 전후로 성착취와 아동 성범죄물 유포에 초점을 맞춰 활동한 조직으로 알려졌다. 764는 여기에서 파생된 조직으로, 극단주의와 폭력을 주요 성향으로 삼았다.
닉슨은 2021년부터 이 조직들 내에서 이뤄지는 ‘섹스토션(sextortion)’, 즉 성착취 협박 범죄에 집중했다. 범죄 발생 초기에는 ‘팬 사인(fan signing)’이라는 방식으로 피해자를 협박해 특정 문구를 쓰게 하거나 촬영하도록 강요했으나, 이후에는 신체 훼손이나 성행위를 강요하는 수준까지 확대됐다.
닉슨은 “돈 관련 범죄로만 인식되던 해커들의 행위를 성착취 범죄와 연결하면 더 강력한 처벌이 가능하다”고 판단해 수사 방향을 전환했다.
AT&T 해킹 사건과 표적 위협
닉슨이 해커 조직의 직접적인 표적이 된 계기는 2024년 4월 발생한 대형 통신 기록 유출 사건이었다. 당시 와이푸 일당은 데이터 저장업체 스노우플레이크(Snowflake) 계정을 해킹해 AT&T 가입자의 통화 기록 500억 건 이상에 접근했다.
이들은 자료를 삭제하는 조건으로 약 40만 달러(약 5.8억 원)를 갈취한 뒤, 다시 유출을 위협하며 재차 협박했다. 이 과정에서 FBI를 직접 태그하며 공개적으로 도발하기도 했다.
유출 자료에는 FBI 요원의 통화 기록도 포함돼 있었고, 해커들은 이를 역추적해 닉슨의 전화번호를 파악한 것으로 추정된다. 이후 닉슨은 온라인에서 협박과 조롱을 받기 시작했다.
닉슨은 이 위협을 계기로 와이푸에 대한 본격적인 분석에 착수했다. 그녀는 주변 인물, 적대 관계, 온라인 발언 등을 종합해 신원을 좁혀 나갔다. 특히 경쟁자나 갈등 관계에 있던 인물들의 발언이 중요한 단서가 됐다.
수개월간의 교차 검증 끝에 닉슨과 동료 연구진은 용의자가 캐나다 온타리오에 거주하는 코너 라일리 무카(Connor Riley Moucka)라고 판단했다. 2024년 10월 무카는 캐나다 경찰에 의해 체포됐다.
법원 제출 문서에 따르면 경찰은 체포 전 신분 확인을 위해 잠입 방문까지 실시한 것으로 알려졌다. 무카는 온라인에서 여러 폭력적 발언과 극단적 위협을 남긴 정황도 드러났다.
검찰은 무카와 공범들이 최소 250만 달러(약 36억 원) 이상을 갈취한 혐의로 기소했으며, 그는 공모, 불법 컴퓨터 접근, 갈취, 신사기 등 혐의를 받고 있다. 무카는 현재 무죄를 주장하며 미국으로 송환돼 재판을 앞두고 있다.
닉슨은 현재도 컴 조직 내 성착취 범죄를 추적하고 있다. 일부 잔존 세력은 여전히 그녀를 위협하고 있다.
그녀는 최근 인터뷰에서 “와이푸 조직의 잔존 세력들이 여전히 온라인에서 나를 조롱하고 협박하고 있다”고 밝혔다. 그녀는 일부 조직원들이 체포되거나 활동을 중단했음에도 불구하고, 남아 있는 인물들이 지속적으로 위협을 가하고 있다고 설명했다.
닉슨은 “그들은 여전히 말도 안 되는 행동을 계속하고 있지만, 하나씩 제거되고 있다”며 “상대편에 더 이상 남은 사람이 없을 때까지 이 일을 계속할 것”이라고 강조했다.
이 글을 쓴 킴 제터(Kim Zetter)는 사이버 보안 및 국가 안보 분야를 취재하는 저널리스트로, 《카운트다운 투 제로 데이(Countdown to Zero Day)》의 저자다.
The post 해커들의 살해 협박, 오히려 ‘최악의 실수’가 되다 appeared first on MIT 테크놀로지 리뷰 | MIT Technology Review Korea.