11개국 참여한 최대 규모 공동 단속

경찰이 국제 공조망을 통해 대규모 사이버범죄 인프라를 동시에 붕괴시키는 작전을 전개한 사실이 확인됐다.

유로폴(Europol)은 보도자료에서 11월 10일부터 13일까지 헤이그 본부에서 ‘엔드게임(Operation Endgame)’ 작전의 최신 단계가 진행됐으며, 이번 조치로 인포스틸러 ‘라다만티스(Rhadamanthys)’, 원격제어 악성코드 ‘VenomRAT’, 글로벌 봇넷 ‘엘리시움(Elysium)’ 등 국제 범죄에 활용되던 3개의 대형 기반시설이 동시에 무력화됐다고 밝혔다.

유로폴에 따르면 VenomRAT의 핵심 용의자는 11월 3일 그리스에서 체포됐으며, 작전 기간 동안 독일·그리스·네덜란드 등 총 11곳에서 압수수색이 실시됐다. 전 세계적으로는 1025개 이상의 서버가 폐쇄 또는 교란됐고, 범죄에 활용되던 20개 도메인이 압류됐다.

유로폴은 이번에 해체된 인프라가 “수십만 대의 감염된 컴퓨터로 구성돼 있었으며, 그 안에는 수백만 건의 도난 계정 정보가 저장돼 있었다”고 밝혔다. 피해자 상당수는 자신이 악성코드에 감염된 사실조차 알지 못한 상태였던 것으로 확인됐다. 라다만티스 운영자는 피해자들에게 속한 10만 개 이상의 암호자산 지갑에 접근할 수 있었던 것으로 파악됐으며, 당국은 이 지갑들에 보관된 자산이 수백만 유로 규모일 가능성이 있다고 설명했다.

이번 작전은 유로폴과 유로저스트(Eurojust)가 조율하고, 호주·벨기에·캐나다·덴마크·프랑스·독일·그리스·리투아니아·네덜란드·영국·미국 등 11개국의 사법·수사기관이 동시 참여했다. 유로폴은 민간 보안기관과 국제 보안 커뮤니티 등 30곳 이상의 공공·민간 파트너가 작전을 지원했다고 밝혔다. Cryptolaemus, Shadowserver, Proofpoint, Crowdstrike, Lumen, Abuse.ch, HaveIBeenPwned 등이 주요 협력 기관으로 이름을 올렸다.

유로폴은 작전 기간 동안 헤이그 본부에 지휘본부를 설치하고, 호주·캐나다·덴마크·프랑스·독일·그리스·네덜란드·미국 등 8개국에서 파견된 100명 이상의 수사관이 현장에서 실시간 정보 공유와 포렌식 분석을 수행했다고 설명했다. 유로저스트는 유럽체포영장(EAW)과 각국 수사 요청서(EIO) 실행을 지원했다.

당국은 범죄 도구뿐 아니라 이를 사용하는 범죄자들에게도 조치를 취했다고 밝혔다. 일부 사용자에게는 경찰이 직접 연락해 관련 정보를 텔레그램 채널로 제출하라고 요청했으며, 작전 웹사이트를 통해 범죄 서비스가 공개적으로 노출되기도 했다.

유로폴은 “이번 작전은 끝이 아니라 다음 단계의 시작”이라고 강조하며, 피해자들은 politie.nl/checkyourhack 또는 haveibeenpwned.com에서 감염 여부를 반드시 확인해야 한다고 안내했다.

[ⓒ META-X. 무단전재-재배포 금지]