로그인
2025.10.31 13:21
- 0
경찰이 도착했을 때, 엘레나 티모페예바는 이미 준비가 되어 있었다. 하트 모양의 얼굴에 깊은 눈매를 지닌 작은 체구의 이 갈색 머리 여인은 지난 8년간 이중의 삶을 살아왔다. 스페인 마르베야에서 그녀는 시베리아에서 작은 전자기기 상점을 운영하던 지난 삶을 뒤로 하고, 이제는 햇살 가득한 스페인 해안을 택해 조용히 살아가는 평범한 43세 러시아 이주민으로 비쳤다.
그러나 온라인에서 티모페예바는 전혀 다른 인물이었다. 그녀는 '드라코샤(작은 용)'라는 이름으로 활동하는 세계 최대 규모 랜섬웨어 조직의 핵심 간부였다. 수년 동안 개인과 기업의 데이터를 암호화한 뒤 복구해주는 대가로 금전을 갈취하는 범죄 조직에서 활동해 온 것이다.
2023년 6월, 티모페예바가 쌓아 올린 새 삶은 무너지기 시작했다. 그날 아침, 경찰은 그녀의 사업 파트너인 바딤 시로틴을 체포했다. 티모페예바는 시로틴의 여동생에게서 연락을 받고 수사관들이 들이닥치기 전에 급히 텔레그램 비공개 메시지들을 삭제하기 시작했다.
태양이 내리쬐는 오후, 노란색 담장에 전용 수영장이 있고 외부인 출입이 통제되는 고급 주거 단지에 경찰이 들이닥쳤다. 그들은 아파트 건물 밖 거리에서 티모페예바를 체포하고, 집안에서 서로 다른 가명으로 등록된 은행카드 여러 장과, 휴대전화 네 대, 그리고 각종 공책들을 압수했다. 발코니에는 노트북 세 대가 테이블 위에 가지런히 놓여 있었고, 그중 두 대는 여전히 켜져 있었다.
[새로운 PADO 기사가 올라올 때마다 카톡으로 알려드립니다 (무료)]
티모페예바는 다크웹 범죄 조직의 주모자가 되리라고는 결코 예상하기 어려운 인물이었다. 그녀는 러시아 탄광 지역 케메로보 주에서 생애 첫 35년을 살았다. 해외로 나갔던 기록은 물론, 국내 여행 기록조차 거의 없다. 러시아 내 범죄 관련 데이터베이스에도 그녀의 이름은 등장하지 않았다. IT 관련 전문 교육을 받은 적도 없었다. 그녀의 소셜미디어에는 하품하는 고양이, 농구공을 갖고 노는 벨루가 고래 같은 동물 사진들만 올라와 있었다.
그녀를 변신하게 만든 것은 두 가지, 사랑과 돈이었다. 극히 비정상적인 사랑의 유혹과 부의 달콤한 약속이 그녀를 스페인으로 이끌었고, 세계에서 가장 악명 높은 랜섬웨어를 퍼뜨리는 범죄자로 만들었다. 연인이자 사업 동료가 된 남자와 함께, 그녀는 최대 40만 명을 범죄의 표적으로 삼았고, 그렇게 두 사람이 벌어들인 돈은 비트코인으로 6400만 유로(약 1060억원)가 넘었다.
체포될 무렵, 티모페예바는 시로틴과 함께 구축한 랜섬웨어 범죄 구조에 깊이 관여하고 있었다. 8년이라는 시간 동안 두 사람은 혁신적 범죄 방식 개발의 최전선에 있었다. 그들은 이후 "서비스형 랜섬웨어"로 불리게 될 모델의 개척자였다. 자신들의 도구에 대한 접근 권한을 다른 해커들에게 사실상 임대하는 사업 방식이었다.
티모페예바는 수사관들이 그토록 방대하고 복잡한 범죄 구조의 실체를 밝혀낼 수 있을 것이라고는 믿지 않았다. 그녀는 자신과 시로틴이 얼마나 오랫동안 수사 당국의 감시망에 들어와 있었고, 수사 당국이 자신에 대해 얼마나 많은 정보를 쥐고 있는지 전혀 알지 못했다. 러시아 밖에 거점을 둔 덕분에 이들은 러시아 당국의 손을 피할 수 있었지만, 동시에 수년간 해외 해커 검거를 위해 집요하게 추적해 온 유럽 수사관들의 조준선 한가운데에 들어와 있었다.
수사관들은 시로틴과 티모페예바가 사용 중인 서버 두 대의 위치를 알려준 정체불명의 제보를 토대로 움직였다. 이 서버들 외에도, 두 사람에게서 압수한 노트북과 하드 드라이브, 휴대전화로부터 수사관들은 기소에 필요한 증거들을 확보했다. 랜섬웨어의 원시 소스 코드, 복호화 키, 피해자에게 전송된 몸값 요구문과 같은 중요한 증거들이었다. 또한 티모페예바와 시로틴이 주고받은 사적인 메시지도 수천 건 발견했다. 이 기록들은 법정에서 검찰 측 증거로 제출되었으며, 그 가운데 일부가 파이낸셜타임스(FT)에 공유되었다. 해킹 조직의 은밀한 내부 작동 방식과, 그 속에서 두 사람의 기묘한 관계가 진화해 간 궤적을 생생히 보여주는 기록들이었다.
그녀의 세대가 흔히 그러하듯, 엘레나 티모페예바도 인터넷을 통해 사랑을 찾았다. 다만, 방식이 사뭇 달랐다. 그녀는 서른네 살이 되도록 여전히 자신이 자라난 지방 도시에 살고 있었다. 유력한 인맥은 없었지만 야심만만했고, 배움이 빨랐다. 그녀는 케이블과 전기 장비를 취급하는 작은 지역 사업체 두어 곳을 세우고, 케메로보 중심가에서 조금 벗어난 낡은 사무실 건물 한켠에서 일했다. 티모페예바는 꿈이 많았고, 남자 운은 좋지 않았지만 낙심하지 않았다. "우리를 있는 모습 그대로 사랑하는 사람의 가치는 헤아릴 수 없다." 그녀가 즐겨 인용하던 말이었다.
2015년 2월 9일, 익명의 발신자로부터 온 한 통의 이메일로 티모페예바의 삶은 돌이킬 수 없는 길로 들어섰다. 메일을 열자 화면에 뜬 것은 군데군데 맞춤법이 틀린 협박문이었다. 파일이 암호화됐으니 복구하려면 돈을 지불해야 한다는 것이다. 그녀는 엉터리 철자들이 신경에 거슬렸다. 티모페예바는 해커가 남겨둔 주소로 메시지를 보내 금액을 묻고, 이렇게 덧붙였다. "적어도 철자 정도는 제대로 배워두는 게 어때?" 금세 답장이 왔다. 암호를 풀려면 1만5천 루블 (당시 환율로 약 225달러)이 든다고 했다. 맞춤법 오류는 백신 소프트웨어를 피하기 위해 의도된 것이라고 해커는 덧붙였다.
사실 티모페예바의 컴퓨터에는 별로 중요한 파일이 없었다. "사양할게… 지워버리는 게 더 낫겠어. :) :) :)" 그녀는 짧게 답하며, 덤으로 웃는 얼굴 세 개를 붙였다.
그리고 말을 이어갔다. "당신이 정말 뛰어난 해커라면, 내 통장 잔고가 얼마나 초라한지도 볼 수 있지 않나? 게다가 그건 내가 땀 흘려 번 돈이라고. 나는 당신처럼 협박으로 돈을 뜯어내는 인간이 아니거든."
해커도 대화를 이어가고 싶어하는 듯했다. "내가 당신 수입을 어떻게 확인하겠어? 그건 좀 사이코짓 아닌가?" 그는 덧붙였다. "갈취도 엄연한 직업이야. 백신 프로그램이 풀지 못하는 코드를 한번 짜보시든가."
그렇게 두 사람의 대화는 자연스럽게 흘러갔다. 티모페예바는 더 영리한 사업 모델을 생각해 보라고 썼다. "평범한 러시아인에게 1만5천 루블은 내기 어려운 돈이야. 차라리 대기업 서버를 노리는 게 낫지 않을까. 그들에게 그 정도는 푼돈일거야. 거기엔 훨씬 더 가치 있는 정보가 있을 거고. 조금만 더 논리적으로 생각해 봐."
그러다가 티모페예바는 태도를 바꿨다. 이제 해커의 이메일도 알게 됐으니, 그에게 유료로 자문을 받을 수 있을지 물었다. 좀 더 구체적으로 말하자면, 오랜 학교 동창 몇 명의 계정을 공격하는 일을 도와달라는 것이었다. 특히 한 녀석이 "아주 못되게 굴거든...진짜 교활한 녀석이야...당신이 도와준다면 좋은 일을 하게 되는 셈이지"라고 그녀는 적었다. "인터넷에서 직접 정보를 찾아보려 했는데...내 머리로는 안 되겠더라구."
해커는 관심이 없었다. 지금 벌어들이는 돈에 비하면 그런 소소한 일거리는 가치가 없었다. "다른 방법으로 돈을 벌 순 없어?" 티모페예바가 물었다. "그럴 수도 있겠지." 그는 답했다. "어쩌면 난 광기가 있는지도 몰라. 난 권력을 사랑해. 용서할 수도 있고, 처벌할 수도 있지. 누군가의 땀, 누군가의 생명까지도 내가 통제할 수 있어...모든 것이 내 손에 달려있는 거지. 권력이란 거 참 아름답지 않나? :))"
"확실히 당신은 광기가 있군," 티모페예바가 썼다. "요즘 이상하게 미친 사람들하고 잘 통하네." 몇 분이 지나갔다. "거기 있어?" 티모페예바가 물었다. "응. 여기."
수십 통의 이메일이 오간 끝에, 해커는 마침내 항복하듯 말했다. "이제 내 편지함이 전부 당신 메일로 도배됐어. ICQ로 연락해." 그는 인스턴트 메시지 플랫폼인 ICQ 상의 자기 번호를 알려주었다. "알겠어. 내일 다운 받을게," 티모페예바가 약속했다. "참, 나는 레나야."
해커에게도 이름이 있었다. 바딤 시로틴, 서른 살, 상트페테르부르크 출신의 남성이었다. 온라인에서 그는 창백한 얼굴에 턱수염을 기르고, 돼지코에 배가 불룩한 은둔자 아바타를 사용하면서, '코렉터 더 매그니피센트'(Corrector the Magnificent, 위대한 교정자)나 '알카시'(Alkash, 러시아 속어로 '알코올 중독자')같은 별명을 썼다. 현실의 그는 올리브빛 피부에 각진 턱선, 그리고 슬픈 강아지 같은 눈을 가졌다.
검찰은 나중에 법정에서 시로틴을 "사디스트"로 규정했고, 그의 변호인은 이를 근거 없다고 항변했지만, 정작 시로틴의 마음 속에서 자신은 마법사였다. 그가 만든 랜섬웨어 프로그램은 다른 사람들이 닿을 수 없는 세계로 통하는 문을 열어젖혔다. 타인의 컴퓨터에 접속하면 그들의 내밀한 삶을 엿볼 수 있다고 그는 소셜미디어에 쓴 적이 있다. "어떤 곳엔 일을 하고 있는 소녀가 있고, 또 다른 곳엔 자기 직업을 사랑하는 남자가 있다. 아름다운 배경 화면, 혹은 딸아이의 사진, 바탕화면 한쪽 작은 위젯들이 있다. 그곳에 들어서면, 눈부신 에너지가 흘러나온다."
메일을 주고받던 초반에 티모페예바는 시로틴을 놀리곤 했다. "당신 말하는 것을 보면, 16살에서 18살쯤 되는 것 같아"라고 그녀가 썼고, 그는 "그게 뭐가 중요하지? :)"라고 답했다. 사실 시로틴은 여러 면에서 온전한 성인이라고 보기 어려운 구석이 있었다. 그는 마르베야에서 한 시간도 채 안 되는 거리에 있는 스페인 남부 휴양지 토레몰리노스의 한 아파트에서 부모와 함께 살았다. 본인이나 수사관들의 말에 따르면 그의 침실은 쓰레기장 같았다. 압수된 휴대전화 속 사진들에는 커튼이 쳐진 어둑한 방에, 널브러진 잡동사니, 게이머용 회전의자가 보이고, 시트조차 씌우지 않은 매트리스 옆에는 휴대폰들이 무더기로 쌓여 있다.
티모페예바를 만나기 전까지 시로틴은 경비원으로 일하기도 했고 수차례 불법 온라인 사업을 벌인 전력이 있었다. 그러나 티모페예바의 업무용 이메일을 겨냥했던 랜섬웨어 크리아클(Cryakl)만큼 돈을 벌어다 준 일은 없었다. 시로틴은 자신이 2009년 러시아와 옛 소비에트 권에서 처음으로 랜섬웨어를 사용하기 시작한 선구자라고 티모페예바에게 자랑했다.
시로틴은 해킹의 모든 것이 마음에 들었다. 돈도 좋았고, 피해자들 위에 군림하는 그 권력도 좋았다. "여기서 나는 신이나 다름없어."라고 그는 티모페예바에게 말했다. "다들 나를 존중하고 심지어 두려워해. 하지만 현실에선 난 아무것도 아니야. 수십억 평범한 인간들 중 하나일 뿐이지." 그는 소셜미디어에 거친 욕설이 난무하는 밈과 함께, 랜섬웨어 피해자들과 주고받은 협상의 파편들을 일부 올리곤 했다. 그중엔 어린 소년들의 사진도 있었다. 소년들은 잠긴 컴퓨터를 풀기 위해 이마에 성기를 그리거나, 가슴에 검은 잉크로 '코렉터는 최고의 해커다'라고 써야 했다.
서로 너무 달랐지만 두 사람은 금세 친해졌다. 메시지를 주고받은 지 몇 주 만에 티모페예바는 시로틴과 함께 일하기 시작했고 그에게 많은 것을 배웠다. 그는 스팸 릴레이가 어떻게 작동하는지, 왜 범용 복호화 프로그램을 만들 수 없는지, 자신의 컴퓨터에 흔적을 남기지 않기 위해 암호화된 파티션과 가상 머신을 어떻게 사용하는지 가르쳤다.
그 대가로 티모페예바는 사업 수완을 발휘했다. 그녀는 이메일 주소 데이터베이스에 접근하는 새로운 방법들을 찾아내고 업무 효율을 높일 아이디어를 제안했다. 새 인력을 모집하고 감독하며, 급여를 책정하고, 피해자들과의 연락을 도맡았다. 그들은 메시지에서 피해자들을 '햄스터'라고 불렀다. 검찰에 따르면 1년 반이 지나자 티모페예바는 시로틴 조직의 '현장 관리자'로 자리 잡고, 하급 잡무를 맡은 직원들을 그들끼리는 '노예'라 칭하며 관리하고 지휘했다.
1989년, 정신적으로 불안정했던 생물학자 조셉 팝은 세계보건기구(WHO)의 에이즈 회의 참석자 2만 명에게 감염된 플로피디스크를 보냈고, 피해자들에게 파나마의 우체국 사서함으로 돈을 보내도록 요구했다. 기록된 최초의 랜섬웨어 공격이었다.
그 이후 사이버범죄는 훨씬 더 복잡해졌고 기소 또한 어려워졌다. 초창기 랜섬웨어 범죄자들은 추적이 쉬운 기프트카드나 머니오더로 대금을 받았지만, 암호화폐의 등장은 판도를 바꿔놓았다. 2021년 콜로니얼 파이프라인(Colonial Pipeline, 미국 최대 송유관 운영사) 공격의 배후자들은 비트코인 지갑을 통해 440만 달러의 랜섬(원래는 '인질 몸값'이라는 뜻)을 요구했고 결국 받아냈다.
“"난 권력을 사랑해. 용서할 수도 있고, 처벌할 수도 있지. 누군가의 땀, 누군가의 생명까지도 내가 통제할 수 있어...모든 것이 내 손에 달려있는 거지. 권력이란 거 참 아름답지 않나?" —바딤 시로틴 ”
시로틴은 이 새로운 세대 랜섬웨어 공격자 집단에 속했는데, 그들 중 상당수가 러시아 출신이었다. 미국의 사이버 방어 분석가 앨런 리스카는 2016년 저서 '랜섬웨어'에서, 도널드 트럼프의 표현을 빌려, 해커들을 "엄마 지하실에 사는" "180킬로그램짜리 루저"로 보는 통념은 순진한 생각이라고 지적했다. 사실 "대부분의 랜섬웨어 범죄자들은 자신을 각자의 서사 속 정의로운 주인공으로 여긴다"고 그는 썼다. 리스카는 러시아가 유독 뛰어난 사이버 범죄자들을 배출하는 이유를 이렇게 설명한다. "러시아는 기술 분야에서 정말 수준 높은 교육을 받은 인구가 많습니다. 수많은 기술 학교들이 있었고, 컴퓨터 과학과 암호학 분야에서도 전통이 깊습니다. 문제는 일자리이죠." 그가 FT에 전한 말이다. "결국 탁월한 기술을 지녔지만 그것을 어디에 써야 할지 모르는 사람들이 대거 생겨난 겁니다."
오늘날 러시아의 사이버 범죄자에게는 두 가지 기본 규칙이 있다고 영국 국가 사이버안보센터(NCSC) 전 수장이었던 키어런 마틴은 말했다. "첫째, 러시아인과 러시아의 이익은 건드리지 않는다...둘째, 때에 따라 [러시아 정부가] 당신을 국가 업무에 동원할 수 있다는 점이다."
시로틴의 범죄 방식은 처음부터 달랐다. 그의 공격은 이 지역에서 몸값으로 비트코인을 요구한 최초 사례들 중 하나였을 뿐 아니라, 무엇보다 러시아 외부에서 러시아인을 표적으로 삼고 있었다.
시로틴은 랜섬웨어 코드를 배포하기 시작하면서, 각종 정부기관을 사칭하여 감염된 PDF 파일을 피해자들의 이메일에 대량 발송했고, 이 과정을 소셜미디어에도 공개했다. 티모페예바가 합류한 뒤, 범행은 한층 정교해졌다. 수십만 개의 이메일함을 무차별적으로 노리는 '스프레이 앤 프레이spray and pray'('일단 뿌려놓고 걸려들기를 기도하다'는 의미) 방식 대신, 이미 알려진 보안 취약점을 통해 직접 컴퓨터 시스템을 침입하는 전략으로 전환했다. 또한 단순히 파일 복구를 미끼로 돈을 요구하는 단일 갈취(single extortion) 방식에서 나아가, 파일을 유출하겠다고 협박하는 이중 갈취(double extortion) 모델로 발전시켰다.
“"첫째, 러시아인과 러시아의 이익은 건드리지 않는다" —키어런 마틴”
티모페예바는 러시아 내 사용자를 겨냥한 사업과 해외 사용자를 겨냥한 사업을 구분하자는 아이디어를 냈다. 2020년, 그들은 자신들의 랜섬웨어 이름을 크리아클(Cryakl)에서 크라이록(Crylock)으로 바꾸었다. 검찰은 이를 "랜섬웨어의 새로운 버전을 부각시키거나 마치 전혀 다른 프로그램처럼 보이도록 경찰과 사법당국의 눈을 속이려는 흔한 수법"이라 설명했다.
이들은 또 다른 해커들을 제휴자로 끌어들여, 침입과 설치 작업을 대신 수행하게 하고 일정 수익을 나눠주었다. 리스카는 이렇게 표현했다. "금광을 직접 캐기보다, 금을 캐는 사람들에게 곡괭이와 삽을 파는 것이 낫다는 격언이 있지요."
티모페예바는 더 큰 야망을 품고 있었다. 그녀는 시로틴과 함께 합법적인 사업을 시작하길 원했다. 하지만 그는 선뜻 응하지 않았다. 합법적인 방법으로는 해킹만큼 돈을 벌 수 없기 때문이었다. 티모페예바는 사적 관계에서도 더 많은 것을 원했다. 2016년 무렵 두 사람은 거의 매일 연락을 주고받았고, 티모페예바는 자주 사랑을 고백했으나 시로틴은 단 한 번도 응하지 않았다. 시로틴이 바로 답장을 보내지 않으면, 티모페예바는 그가 자신에게 화가 났는지 묻곤 했다.
2018년 크리스마스, 티모페예바는 생애 처음으로 러시아에서 스페인행 비행기에 올라 새해 연휴까지 그곳에서 머물렀다. 2019년 2월 9일, 두 사람이 처음 메시지를 주고받은 지 정확히 4년이 되는 날, 그녀는 스페인으로 완전히 이주했다. 그들의 관계는 결코 순탄하지 않았다. "우린 좀 복잡한 관계예요." 시로틴은 훗날 수사관들에게 말했다. "친구일 때도 있고, 연인일 때도 있어요. 많이 다투기도 하고요."
다른 문제도 있었다. 티모페예바는 시로틴이 자신의 신분을 노출시킬까봐 두려워했다. 그녀는 시로틴이 피해자들로부터 몸값을 받는 데 쓰는 비트코인 지갑에서 자신의 급여를 지급하고 있다는 사실이 걱정스러웠다. 때로는 자신에게 사기를 치고 있다고 그를 몰아붙이기도 했다.
결과적으로 보면 방향이 빗나간 걱정이었다. 해커를 추적하는 수사관들에게 단서는 사소한 곳에서 비롯되곤 한다. 10년 전 온라인 게시판에 남겼다가 생각없이 재사용한 핫메일 주소 하나일 수도 있고, IP 주소 변경을 잊은 채 공용 제어 서버에 단 한 번 로그인한 흔적일 수도 있다. "기본적으로 인터넷을 사용하는 모든 사람은 흔적을 남깁니다." 유로폴의 한 사이버 수사관이 말했다. "우리 일은 그 흔적을 뒤쫓는 것이죠."
시로틴의 경우 결정적 실수는 온라인 구매 두 건에서 비롯되었다. 수사관들이 의심하고 있던 서버들을 임대할 때 사용한 이메일 주소로 칼 한 자루를 구입한데다, 이전에 같은 이메일로 말라가에서 러시아로 가는 부모님의 비행기표 두 장을 구입한 것이 받은 편지함에 보관되어 있었던 것이다. 2023년 6월 체포된 후, 티모페예바와 시로틴은 스페인 판사의 심문을 받았다. 그리고 예기치 못한 일이 벌어졌다. 그들이 벨기에로 이송된 것이다.
2025년 5월의 비 내리던 어느 날, 경찰관들이 티모페예바와 시로틴을 벨기에 브뤼셀 사법궁 내 벽면이 나무로 마감된 법정 안으로 호송했다. 19세기에 지어진 이 건물은 벨기에 수도의 주요 법원이 대부분 들어선 곳이다. 낡은 커튼 사이로 해가 들어 빛바랜 금장 붉은 벽지를 비췄고, 벽에 걸린 시계는 10시에 멈춰 있었다.
시로틴과 티모페예바는 구치소 운동복 차림으로 터벅터벅 법정으로 들어와 피고인석에 나란히 웅크려 앉았다. 티모페예바는 긴 머리가 희끗희끗해졌고, 부은 얼굴에 눈밑 그늘이 짙어 시로틴보다 십 년은 더 나이 들어 보였다. 시로틴은 잿빛 머리를 삭발에 가깝게 짧게 민 채 돌처럼 굳은 얼굴로 정면을 응시하고 있었다. 두 사람은 거의 2년 동안 구금되어 있었다.
검사는 논고를 빠르게 읽기 시작했고, 말을 이어갈수록 목소리에 점점 확신이 실렸다. "제가 사이버 범죄 분야에서 15년간 일해왔습니다만," 그가 법정을 향해 말했다. "이토록 긴 형량을 요청한 적은 한 번도 없습니다." 검사는 시로틴에게 징역 10년, 티모페예바에게 7년을 구형하고, 두 사람이 비밀번호 제공을 거부해 수사를 방해한 점을 고려해 각각 3년씩 형량을 가중해줄 것을 재판부에 요청했다.
피고인들은 이틀간 이어진 공판에서 제시된 증거 대부분에 이의를 제기하지 않았다. 시로틴의 변호인 줄리 크로웨는 의뢰인의 SNS에 일부 "혐오스러운" 내용이 있었다는 사실을 인정하면서도, 벨기에 법원은 이 사건을 심리할 관할권이 없다고 주장했다. "대체 이 사건이 왜 벨기에 법정에서 다루어지는 겁니까?" 그녀는 검은 법복을 입고 법정 통로를 오가며 목소리를 높였다.
사실 벨기에 경찰은 이미 2016년부터 이 사건을 추적하며, 시로틴과 티모페예바를 대상으로 수사 자료를 치밀하게 축적해 온 것으로 밝혀졌다. 통상 사이버 범죄 수사는 피해자의 신고에서 시작해 공격의 근원을 역추적하지만, 이번에는 달랐다. 수사팀이 크리아클 서버 두 대의 위치에 대한 단서를, 한 수사 관계자의 표현대로라면, '은쟁반에 놓인 듯이' 제공받으면서 수사가 본격화되었다. 그 제보는 곧 30개의 추가 서버 추적으로 이어졌고, 절반가량이 복호화에 성공했다.
서버들은 랜섬웨어 공격을 실행하는 데 쓰였다. 하지만 동시에, 그 안에는 랜섬웨어의 복호화 키를 비롯해 각 키와 개별 피해자의 연결 정보, 그리고 피해자들의 IP 주소 같은 중요한 증거 자료가 함께 저장돼 있었다. 수사관들은 그로부터 역추적해 몇몇 벨기에 피해자를 찾아냈고, 벨기에 법정에서 이 사건을 다룰 정당성을 확보했다.
시로틴의 변호사는 벨기에 검찰의 논리를 일축했다. 검찰은 랜섬웨어 피해자가 4만4천에서 40만 명에 달한다고 주장했지만, 벨기에에서 표적이 된 기업은 고작 세 곳에 불과하며 그나마 실제 피해를 본 곳은 단 한 곳도 없다고 그녀는 반박했다. "그럼 피해자는 어디 있습니까?!..이 재판부는 이 사건에 대해 영토 관할권이 없습니다." 그녀는 목소리를 높였다.
시로틴에게 발언 기회가 주어졌다. 그는 힘없이 일어섰고, 목소리는 불안하게 떨렸다. 그는 크리아클과 그 후속 프로그램 크라이록의 코드를 작성했다는 혐의를 부인했으며, 판사가 그에게 직접 질문할 때마다 거듭해서 질문의 뜻을 확인했다. 비밀번호는 잊어버렸다고 말했다. "저는 부자가 아니었습니다." 그가 말했다. "제가 어떻게 살았는지 보셨잖습니까."
이후 티모페예바가 자리에서 일어섰다. 그녀는 사과의 말로 입을 열었다. 검찰은 그녀가 체포된 후 도청된 통화에서 벨기에 사법부를 "멍청하다"고 부른 사실을 언급했다. "러시아어를 잘못 번역한 것 같습니다. 그 말은 다른 의미예요. 결코 '멍청하다'는 뜻이 아닙니다." 티모페예바는 말했다. "어쨌든 그 일에 대해 사과드립니다... 제가 부정적인 말을 했을 수는 있지만, 사법부를 모욕하려는 의도는 전혀 없었습니다."
그녀는 자신이 부하 직원들을 라비(raby, 러시아어로 '노예를 뜻하는 말)라고 불렀다는 사실을 인정했다. 하지만 그것은 어디까지나 '라보트니키rabotniki', 즉 '노동자들'을 뜻하는 러시아어를 줄여 쓴 표현일 뿐이라고 해명했다. "그 문장을 보고 마음이 많이 아팠습니다. 저는 그런 얘기를 한 적이 없어요. 누구를 '노예'라고 부른 적이 없습니다."
몇 주 뒤, 재판부는 판결을 선고했다. 시로틴에게는 징역 7년, 티모페예바에게는 징역 5년이 선고되었다. 범행의 내용과 함께, 여전히 암호가 해제되지 않은 일부 압수된 기기의 비밀번호 제공을 거부한 점이 양형에 반영됐다. 두 사람은 각기 다른 벨기에 교도소에 수감되었다. 판사는 그들의 비트코인 자금을 국고에 귀속하도록 명령했다. FT가 변호인을 통해 질문을 보냈지만, 두 사람 모두 답변을 거부했다. 재판은 끝났지만, 7월에 진행된 인터뷰에서 티모페예바의 변호인은 여전히 마음에 걸리는 부분이 있다고 밝혔다.
민머리에 목이 굵고 다부진 벨기에 형사 전문 변호사 피에테르 필리포비치는 비슷한 부류의 의뢰인들을 상대해 왔고 이런 사건을 많이 경험했다. "보통은 경찰이 이렇게까지 확실한 증거를 갖고 있지 않습니다." 그는 올여름 화상 인터뷰에서 말했다. "보통은 노트북 한두 대, 통화 감청을 조금 확보하는 정도죠." 이번 사건에서 벨기에 경찰은 독일과 네덜란드에 각각 하나씩 존재하는 서버에 대한 제보를 입수한 후 행동에 나섰다.
"그쪽 세계 사람이 아니라면, 도대체 누가 벨기에 경찰에 가서 '네덜란드에 이런 서버가 있다'고 제보를 하겠습니까?" 그는 입술로 바람을 내뿜었다. "전혀 모르겠어요."
필리포비치는 서버 정보의 출처를 알지 못했다. 그러나 이 사건에 참여한 한 유로폴 수사관은 이렇게 귀띔했다. "모든 것이 평범한 보고서 하나에서 시작됐어요. 더 깊이 파고들고 싶어 했던 어느 수사관이 작성한 보고서였습니다."
“"대부분의 랜섬웨어 범죄자들은 자신을 각자의 서사 속 정의로운 주인공으로 여긴다" —앨런 리스카”
벨기에 사이버 수사계에 종사하는 여러 인사들은 처음 증거를 확보해 수사를 개시한 인물로 경찰 내 한 인물의 이름을 거론했다. 그는 사이버 부서에서 '러너'(runner)라는 새로운 역할을 개척한 인물로, 각종 콘퍼런스나 행사에서 포섭한 정보원 네트워크를 관리하며 정보를 수집했다고 한다.
FT는 그 인물을 찾아냈지만, 그는 제보자의 신원을 밝히길 거부했다. 다만 "한 민간 사이버보안 회사의 연구원"이 출처라고만 인정했다. 수사에 관여한 이들에 따르면 조사는 여전히 진행 중이며, 크라이록 사건과 관련해 지명수배 중인 인물이 적어도 한 명이 더 있지만 아직 행방이 묘연하다. 벨기에 연방검찰은 "제보 관련 내용은 언급할 수 없다"고 밝혔다.
민간 보안회사가 이런 정보를 수사기관과 공유하는 일은 드물지 않다. 랜섬웨어 전문가 리스카는 자신도 FBI, 영국의 GCHQ, 캐나다 정보당국 등에 관련 연구 자료를 수시로 넘긴다고 했다. 일을 하다보면 해커들의 서버 위치를 우연히 발견하는 일이 종종 있다고 한다.
유로폴(Europol) 수사관은 "민간 보안회사의 지원이 없으면 법 집행기관의 수사는 방향을 잃게 될 것"이라고 말했다. 이번 사건에서 랜섬웨어 추적에 특히 적극적인 역할을 한 민간업체는 러시아의 사이버보안업체 카스퍼스키Kaspersky였다. 카스퍼스키는 수년 동안 크리아클을 모니터링해 오다가, 2018년 "3년 이상 추적의 결실로서... 대대적인 노력 끝에 마침내 사이버 범죄자들을 무너뜨렸다"라며 악성코드 해독을 발표했다. 카스퍼스키가 이 사건에 언제부터 관여했는지는 불분명하다. 벨기에 당국이 수사에 착수할 당시 카스퍼스키에 재직했던 한 전직 직원은 수사 개시 이전에 카스퍼스키가 벨기에 당국을 지원했다는 직접적인 정황을 알지는 못한다고 말했다. 다만 제보의 출처가 어디였든, 그것이 전해진 시점은 카스퍼스키와 서방 세계의 관계가 변하기 시작하던 때였다고 그는 덧붙였다.
벨기에가 수사를 시작한 다음 해인 2017년 미국 국토안보부는 모든 연방 기관에 카스퍼스키 제품 사용 중단을 명령했다. 그 제품들이 "파일에 대한 접근을 가능케 할 위험"이 있다는 이유였다. 몇 달 뒤 러시아 해커들이 카스퍼스키 백신이 설치된 미국 국가안보국(NSA) 직원의 자택 컴퓨터에서 기밀 문서를 탈취한 사실이 드러났다. 2024년, 미국 정부는 카스퍼스키 제품의 자국 내 판매를 전면 금지했다. 카스퍼스키는 러시아 정보기관과의 연계를 일관되게 부인해 왔다. FT에 보낸 성명에서 카스퍼스키는 "인터폴을 비롯해 전 세계 각 지역의 법 집행기관들과 전문 지식을 공유하고 있으며, "보안에는 국경이 존재하지 않는다는 신념을 가지고 있다."고 밝혔다.
제보가 러시아 내부의 개인으로부터 나왔을 가능성도 완전히 배제할 수 없다. 경쟁 해커들이나, 혹은 크렘린 주변 인물 중 시로틴과 티모페예바의 몰락을 바랐던 자가 있을지도 모른다. 대부분의 러시아 사이버 갱단은 정부와 직접적인 연계가 없다. 그렇다고 양측이 이해관계를 완전히 공유하지 않는다는 뜻은 아니라고 유럽의 대표적 보안 전문가 미코 휘포넨은 말했다. "그들은 러시아군의 일부가 아닙니다. 다만 그들은 서방의 인프라를 공격한다는 의미에서 러시아 정부에 유용한 존재예요. 지금 러시아는 서방과 전쟁 중이니, 이들의 활동이 러시아에 득이 되는 셈이죠."
티모페예바는 형기를 마치면 러시아로 추방될 가능성이 크다. 그녀의 스페인 비자는 체포 전 이미 만료되었다. 법정에서 그녀는 케메로보로 돌아가고 싶지 않다고 밝혔다. "우크라이나 전쟁이 시작된 뒤로 더 이상 안전하다고 느끼지 못했습니다." 그녀는 이번 체포와 재판에도 정치적 요소가 작용했다고 주장하며 "루소포비아 "(Russophobia, 러시아 혐오)를 언급했다. "이 재판은 정치적 의도가 있습니다"라고 그녀가 주장하던 그 순간, 필리포비치가 그녀의 어깨를 두드리며 귀에 대고 조용히 무언가를 속삭였다. "좋아요, 그만하죠." 그녀는 자리로 돌아갔다.
필리포비치는 2년간 변론을 준비하며 함께 일하는 동안, 티모페예바가 프랑스어와 약간의 네덜란드어까지 익히는 것을 보며 놀랄 때가 많았다고 했다. "1년 만에 프랑스어를 배운 사람이라면 바보가 아니죠." 그는 두 사람 중 티모페예바가 "똑똑한 쪽"이라는 인상을 받았다.
그는 또 그녀가 시로틴을 진심으로 사랑했다고 믿었다. "이메일을 보면 그녀가 그를 얼마나 숭배했는지 알 수 있어요. 그녀에게 시로틴은 거의 '메시아' 같은 존재였고, 그녀는 시로틴이 원하는 것은 무엇이든 했죠." 그는 말했다. "이메일들을 보면 그들이 정말 연인이라는 게 보느껴집니다. 적어도 그녀는 그렇게 믿었죠."
재판이 끝난 몇 주 뒤, 시로틴은 형량에 불복해 항소하기로 결정했다. 그의 변호사에 따르면 항소 결과가 어떻든, 그는 러시아로 돌아가는 대신 스페인 체류 자격 갱신을 시도할 것이다. 티모페예바는 항소하지 않았지만, 벨기에에서 망명을 신청할 계획이라고 그녀의 변호인이 말했다. 그녀는 5년 형 가운데 미결 구금으로 이미 2년을 복역했고, 벨기에 법에 따르면 가석방을 신청할 자격이 있다.
그녀는 시로틴과 처음 나눈 대화에서 삶에는 돈 말고 더 중요한 게 있어야 한다고 말했다. 원칙도 있어야 하고, 관심사도 있어야 한다고. "당신의 그 지적 능력으로 돈을 벌 수 있는 다른 방법은 없을까?" 그녀가 물었지만, 그의 대답은 만족스럽지 않았다. 1년 넘게 함께 일한 뒤에도 그녀는 같은 주제로 돌아왔다. 랜섬웨어가 그녀에게 "흥미롭기는" 했지만, 그것은 결코 그녀에게 '삶의 의미'를 주지는 못했다. 그렇지 않았을까?
로그인
랜섬웨어는 돈을 노리는 해커들이 사용하는 수단 중 하나로, 피해자의 컴퓨터에 침투해 주요 자료 등을 암호화시켜놓고 몸값('랜섬')을 요구하는 온라인범죄입니다. 한국 기업들도 랜섬웨어에 당한 후 해커에게 막대한 몸값을 치르는 일이 적지 않습니다. 이 FT매거진 10월 18일자 기사에서 흥미로운 점은 전 세계적으로 고도의 소프트웨어 지식이 요구되는 온라인 범죄에서 러시아인들이 활약하고 있다는 사실입니다.
동남아의 로맨스 스캠이나 보이스피싱 같은 온라인범죄에는 중국계가 활약하고 있는데, 랜섬웨어나 해킹 같은 고도의 지식이 필요한 범죄에서는 러시아계가 맹활약하고 있습니다. 러시아, 즉 구 소련은 한때 미국과 세계 패권을 놓고 경쟁하던 나라이기 때문에 과학기술이 고도로 발달했습니다. 지금도 당시 구축해놓은 교육, 연구 인프라가 남아 있어서 수학, 소프트웨어 부문 등에서 인재들이 많이 배출되고 있습니다. 하지만 이제 러시아는 더 이상 미국과 경쟁할 수 있는 수준의 나라는 아닙니다. 따라서 과거 소련때의 시스템이 배출하는 인재들을 소화할 수 있는 산업이 갖춰져 있질 않습니다.
말하자면 현재의 러시아는 '고등 룸펜'을 많이 만들어내고 있지만 이들이 번듯하게 일할 직장이 부족합니다. 이들이 랜섬웨어, 해킹, 해적사이트 제작운영에 뛰어든다는 것입니다. 물론 텔레그램 같은 앱을 만들어 거부가 될 수도 있습니다. 이 기사와 동남아 온라인 범죄 기사들을 종합해서 본다면, 중국이나 러시아 같은 대국들의 변방 문제가 다시 부각됩니다. 대국은 꼼꼼하게 모든 곳을 다 챙길 수가 없다보니 특히 변방에 범죄가 자라날 가능성이 높습니다. 그리고 대국의 범죄는 규모가 크기 때문에 주변의 소국들을 위협합니다. 두 대국의 주변국으로서 우리는 러시아계와 중국계 온라인 범죄 문제에 항시 주시해야 할 필요가 있습니다.