미국 연방 검찰은 최근 심각한 사이버 보안 "내부자" 사건을 공개했습니다. 해커와의 거래에서 피해자의 이익을 대변해야 했던 사이버강탈 협상가는 실제로 매우 민감한 유출 데이터를 협상 카드로 사용하고, 몸값을 올리기 위해 비밀리에 해커 조직에 지원을 제공했습니다. 이번 사건에 참여한 협상가 안젤로 마르티노(41세)가 유명 랜섬웨어 조직 '블랙캣(BlackCat)'의 지사에 정보를 알린 혐의로 징역 70개월을 선고받았다.

이미지.jpg

사건에 연루된 마르티노는 원래 "DigitalMint"라는 회사에서 근무했습니다. 회사의 주요 사업 중 하나는 피해 회사를 대신하여 공격자와 몸값 협상을 포함하여 사이버 갈취를 겪은 회사가 어려움을 극복할 수 있도록 지원하는 것입니다. 이러한 핵심 직책을 통해 Martino는 주요 보안 위반이 발생한 세부 사항에 직접 액세스하고 해커의 몸값 요구, 피해자 회사의 보험 적용 한도 및 내부 협상 전략을 포함하여 피해자의 가장 핵심적인 기밀 정보를 마스터할 수 있었습니다.

그러나 검찰의 기소 결과 그의 이중얼굴이 드러났다. 법원 문서에 따르면 마르티노는 해커 조직의 독점 채널을 통해 'Black Cat' 배후의 주모자와 자주 비밀 통신을 유지했습니다. 그는 일반적인 공식 협상 채팅 채널 외에도 '블랙캣' 제어판 내부의 비밀 '중개' 기능을 활용했고, 암호화된 통신 소프트웨어 톡스를 이용해 피해 기업의 시야를 완전히 우회한 채 해커들과 직접 연결했다. 이러한 비밀 통신의 유일한 목적은 피해자 회사가 결국 '검은 고양이'에게 지불할 몸값을 최대화하는 것입니다. 마르티노는 의뢰인이 모르는 사이에 상대방의 보험카드와 내부손익을 배신했고, 해커조직은 이 정확한 '첩보'를 바탕으로 갈취금액을 조정했다. 그 대가로 Martino는 해커가 획득한 암호화폐 몸값을 직접 삭감합니다.

조사 결과, 2023년 4월부터 9월까지 총 5개 피해 기업이 이로 인해 피해를 입었으며, '블랙캣' 지점에 총액 7,500만 달러가 넘는 막대한 몸값을 지불할 수밖에 없었던 것으로 확인됐다. 피해자는 금융 서비스, 의료, 소매, 숙박, 비영리 단체 등 주요 산업 전반에 퍼져 있었습니다. Martino의 제보로 인해 일부 피해 회사는 협상한 것보다 훨씬 더 많은 비용을 지불했으며 공격으로 인해 심각한 비즈니스 중단이 발생했습니다.

탐욕스러운 마르티노는 정보 유출에 그치지 않았습니다. 2023년 5월에는 '블랙캣' 랜섬웨어 플랫폼 제휴 회원권까지 직접 획득했다. 이 권한은 일반적으로 신뢰도가 높은 파트너에게만 부여되며 악성코드를 직접 배포하는 데 사용됩니다. Martino는 이 액세스 권한을 다른 두 공모자 Kevin Martin 및 Ryan Goldberg와 공유했습니다. 세 사람은 이익 동맹을 맺고 "Black Cat" 소프트웨어와 플랫폼을 공동으로 사용하여 새로운 공격을 시작하고 다른 피해자를 협박한 다음 "Black Cat" 관리 팀과 돈을 나누기 시작했습니다. 이 도구 세트를 사용하여 그들은 의료 기기 회사에 대한 공격을 시작하고 120만 달러를 성공적으로 갈취했습니다.

일련의 조직 범죄를 통해 Martino는 수백만 달러 상당의 암호화폐를 획득했습니다. FBI가 자산 중 일부를 압수했지만 나머지 대부분은 그에 의해 낭비되어 요트 한 대와 고급 자동차 몇 대라는 두 가지 재산으로 전환되었습니다. 법원은 그에게 징역 70개월을 선고한 것에 더해 관련 재산을 몰수하고 석방 후 개인 소득의 10%를 넘겨주라고 명령했다.

마르티노는 "공모자를 기소하는 데 법 집행 기관과 협력한다"는 이유로 형량을 24개월로 줄여달라고 신청했지만 승인되지 않았습니다. 그의 공모자들인 마틴과 골드버그는 올해 초 각각 4년의 징역형을 선고 받았습니다.

이런 심각한 직장내 배신과 범죄에 대해 FBI 사이버국 부국장 브렛 레더먼은 안젤로 마르티노가 자신을 부자로 고용하기 위해 자신을 고용한 피해자들을 직접 배신하고 '검은 고양이' 해커들에게 기밀 협상 카드를 건네주며 전문적, 법적 이익을 완전히 무너뜨렸다고 비난했다.

Black Cat(일명 ALPHV)은 협력하는 해커에게 악성 코드와 인프라 지원을 제공하고 범죄 수익을 공유하는 악명 높은 RaaS(Ransomware-as-a-Service) 플랫폼입니다. 이 조직은 이전에 2024년 미국의 Change Healthcare 의료 지불 시스템을 광범위하게 마비시키는 것을 포함하여 미국을 충격에 빠뜨린 수많은 대규모 사이버 공격을 일으켰습니다. FBI는 이미 2023년에 소프트웨어에 대한 암호 해독 도구를 개발하고 인프라 일부를 압수했다고 발표했지만 나머지 지점은 여전히 ​​네트워크의 어둠 속에서 활동하고 있습니다.

사건 발생 후 관련 회사인 디지털민트는 긴급 성명을 내고 마르티노가 무슨 일을 했는지 회사가 전혀 몰랐다는 점을 강조하며 자신 역시 이 범죄의 '무고한 피해자'라고 주장했다. 회사는 법무부로부터 통보를 받은 뒤 관련 직원을 모두 해고하고 수사에 적극 협조했다고 밝혔다. 디지털민트는 범행을 위해 마르티노가 의도적으로 회사 내부 보안 보호 메커니즘을 우회하고 시스템이 전혀 모니터링할 수 없는 승인되지 않은 통신 채널을 사용해 은밀한 작전을 수행했다고 지적했다.

업계를 충격에 빠트린 이번 사건은 의심할 여지 없이 네트워크 보안 대응 업계 전체에 경종을 울렸다. 직업의 특수성으로 인해 협상가는 해커가 제어하는 ​​시스템과 민감한 데이터 사이를 오랜 시간 동안 헤매야 하는 경우가 많습니다. 이번 사례에서 밝혀진 "내부자" 위험은 네트워크 방어의 가장 큰 허점이 때때로 가장 신뢰할 수 있는 링크에 나타난다는 것을 보여줍니다.