지난 7월, 악명 높은 사이버 공격 조직인 레빌(REvil)이 IT 소프트웨어 공급사 카세야(Kaseya)의 공급망을 겨냥한 랜섬웨어 공격을 개시했다. 이 때문에 전 세계 기관 1,500여 곳이 타격을 입는 등 매우 심각한 피해가 발생하면서 지금까지 발생한 사상 최악의 사이버 공격 중 하나가 되었다. 그러나 다수 외신 보도를 통해 카세야 랜섬웨어 사태의 피해를 더 빨리 막을 수 있었다는 사실이 뒤늦게 알려졌다.
워싱턴포스트, 더힐, 기즈모도 등 복수 외신은 미국 연방수사국(FBI)이 카세야 랜섬웨어 공격 직후 암호화 해제 키를 확보했으나 이를 피해 기관에 건네지 않았다고 보도했다.
FBI는 암호화 해제 키를 카세야나 그 공급사에 건네지 않고 3주간 암호화 해제 키 확보 사실을 알리지 않았다. FBI는 암호화 키를 건네지 않은 이유가 당시 레빌이 또 다른 사이버 공격을 개시하지 못하도록 대대적인 타격을 줄 계획을 세웠기 때문이라고 주장했다. 그러나 FBI의 주장은 사실이 아닌 것으로 드러났다. 작전을 개시하기 전부터 레빌이라는 조직이 갑자기 사라졌기 때문이다.
또, FBI 국장인 크리스토퍼 레이(Christopher Wray)는 9월 21일(현지 시각), 미국 상원 정부 문제 위원회(Senate Homeland Security and Governmental Affairs Committee)의 청문회에 출석해, "암호화 해제 키와 관련, 그 유효성을 검증하기 위해 거쳐야 할 과정이 많았다. 게다기 실제 랜섬웨어 공격을 해결하기 위해 필요한 툴을 개발하려면 수많은 엔지니어링 작업을 거쳐야 했다"라며 암호화 해제 키를 바로 건네지 않은 이유를 설명했다.
레이 국장은 사이버 보안 및 기반 시설 보안국(CISA) 등 다수 연방 기관과의 협력에 따라 랜섬웨어 암호화 해제 키를 건넬 시점을 미루기로 결정했다는 점도 함께 강조했다.
암호화 해제 키 확보 사실을 비밀로 유지한 것이 FBI의 단독 결정이 아니라도 FBI에 대한 비판 여론은 사라지지 않았다. 민주당 상원의원이자 미국 상원 정부 문제 위원회장인 개리 피터스(Gary Peters) 의원은 FBI의 사건 투명성 결여 문제를 비판했다.
피터스 의원은 "카세야가 지금도 랜섬웨어 사건을 조사 중이다. FBI가 암호화 해제 키를 건네지 않은 탓에 여러 기업이 천문학적인 비용 손실을 감당해야 했으며, 그 외에 알려지지 않은 피해도 더 존재할 것"이라고 지적했다.
한편, 미국 온라인 테크 매체 기즈모도는 FBI가 랜섬웨어 해제 키를 확보하게 된 과정이 여전히 의문스러우며, FBI는 암호화 해제 키 입수 과정을 구체적으로 밝히지 않았다고 전했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
