"나는 이상한 아이였다": 한 소년 암호화폐 해커의 감옥 자백
작성자: Margi Murphy
번역: TechFlow
노아 어반(Noah Urban)은 악명 높은 'Scattered Spider' 조직에서 중요한 역할을 맡았다. 그의 임무는 사람들을 설득해 자신도 모르게 범죄자들이 민감한 컴퓨터 시스템에 접근하도록 만드는 것이었다.
2022년 9월 어느 오후, 금주머니 이모티콘과 광대 이모티콘으로 가득하고 "웃겨 죽겠다(lmfaos)"와 "배꼽 빠지게 웃기(loooools)"라는 표현이 난무하는 텔레그램 채팅방에 픽셀화된 축소 이미지가 올라왔다. 화면 속에는 온몸에 피를 묻힌 소년이 보였다. 당시 18세였고 플로리다 주 팜코스트에 거주하던 노아 어반은 그 영상을 클릭했다.
영상 속 소년은 총구를 머리에 겨누며 자신에게 20만 달러를 송금해달라고 간청했다. "엘리야(Elijah), 진심이야 형제. 우리가 예전에 같이 일했던 거 알잖아." 소년은 노아를 그의 별명으로 부르며 말했다. 얼굴은 부어 있었고 입안엔 피가 가득했으며, 그 피가 하얀 할리스터 후디 위로 떨어졌다. "내가 항상 너를 지지했잖아. 네가 원하는 건 뭐든 해줄게."
노아는 그 소년을 바로 알아보았다. 저스틴(Justin)은 예전에 노아를 도와 암호화폐를 훔친 적이 있었다. 성명은 몰랐지만, 결코 납치범들에게 돈을 보내선 안 된다는 것을 알고 있었다. 게다가 그 영상이 조작되었을 가능성도 생각했다. 그래서 그는 아무런 자금도 송금하지 않았다.
이런 영상은 대부분의 십대들에게 공포를 느끼게 하지만, 2022년 무렵 노아는 이미 이런 일을 너무 많이 겪어왔다. 당시 그는 연방수사국(FBI)의 수사를 피해 다니고 있었고, 나중에 'Scattered Spider'로 알려진 사이버 범죄 조직의 일원이었다. (TechFlow 주: 이 조직은 UNC3944이라고도 불리며, 주로 미국과 영국 출신의 청소년 및 젊은이들로 구성된 해커 집단이다. 정교한 사회공학 기법과 사이버 공격으로 유명하다.) 이 조직은 전 세계에서 가장 악명 높은 사이버 범죄 조직 중 하나가 되었으며, 미국과 영국 기업들을 대상으로 수십 차례의 공격을 감행했다. 그 중에서도 가장 심각한 사건들은 2023년 미그마 리조트 인터내셔널(MGM Resorts International)에 대한 랜섬웨어 공격으로, 카지노의 컴퓨터 시스템이 마비되어 회사에 1억 달러의 손실을 입혔고, 올해 초 영국 소매업체 마크앤스펜서 그룹(Marks & Spencer Group Plc)에 대한 공격은 약 4억 달러의 손실을 초래할 것으로 예상된다.
라스베이거스 MGM 호텔 및 카지노.
촬영: AaronP/Getty Images
FBI와 영국 국립범죄국(NCA)은 'Scattered Spider'를 주요 단속 대상으로 지정했다. 미국 사이버보안 및 인프라 보안국(CISA)은 이 조직을 "미국 기관에 지속적이고 심각한 위협을 가한다"고 평가했으며, 사이버 방어 업체 매니언트(Mandiant)는 이를 "유럽과 미국 기관에 가장 공격적이며 깊숙이 침투하는 위협 세력 중 하나"라고 분류했다. 작년에는 CBS <60분> 프로그램에서 'Scattered Spider'가 러시아 랜섬웨어 해커들과 연결되어 있다는 사실을 보도하기도 했다.
노아는 이 조직 내에서 핵심적인 역할을 수행하며 '콜러(caller)'로 활동했다. 그의 이야기는 기술 능력이 거의 없는 고등학생이 어떻게 게임에서 시작해 암호화폐를 빠르게 훔치고, 이후 전화 사기를 통해 통신 및 기술 기업들의 컴퓨터 네트워크에 침입해 민감한 데이터를 훔치는 경로로 진화했는지를 보여주는 경고의 사례다. 플로리다 중부의 중산층 가정에서 자란 그는 어릴 때 크록스 샌들과 서핑 반바지를 입고 낚시를 가거나, 악어랜드(Gatorland)에서 짚와이어를 타고, 올랜도의 유니버설 스튜디오를 방문하는 등 평범한 소년의 삶을 살았다. 그러나 그의 범죄 행위가 점점 심각해지면서 가상 세계의 활동이 현실 세계로 확장되기 시작했다. 납치, 화염병 테러, 성적 협박 사건들이 발생했고, 법 집행 기관의 주목을 받게 되었다. 이제 그가 온라인에서 사귀었던 친구들은 장기 구금을 앞두고 있다.
이 보도는 법원 문서, 디스코드 대화, 텔레그램 메시지 등을 종합해 작성되었으며, 수십 명의 위협 정보 분석가, 법 집행 관계자, 그리고 노아의 범죄 활동을 잘 아는 인물들의 인터뷰를 포함한다. 그 중에는 노아 본인도 포함되는데, 그는 플로리다의 한 교도소에서 <블룸버그 비즈니스위크>와 수십 차례의 전화 인터뷰를 진행했으며, 자신의 재판 선고 전까지는 이 내용이 보도되지 않기를 요청했다.
"안녕하세요, 저는 T-모바일 내부 보안관리부서에서 전화 드렸습니다. 제 이름은 케빈(Kevin)입니다."
사실 노아는 진짜 해커가 아니었다. 그는 페이스북이 출시된 해인 2004년에 태어났다. 그는 프로그래밍보다 수영과 미식축구를 더 좋아했다. 몇몇 친구들과 고등학교 시절 연인이 있었지만, 대부분 혼자 지냈으며 수업 시간에도 별로 참여하지 않았다. "저는 좀 이상한 아이였어요," 노아는 회상한다. "친구가 많지 않았고, 인간관계를 통해 배울 수 있는 사회적 신호들을 익히지 못했죠." 졸업 후 3년이 지난 지금, 그의 가장 좋아하는 선생님조차 그를 기억하지 못한다.
노아는 8~9세 때부터 <마인크래프트>(Minecraft)를 시작했고, 15세 때 게임을 통해 사람들을 만나며 처음으로 SIM 카드 스왑(SIM-swapping) 사기라는 개념을 접했다. 이 사기는 타인의 전화번호를 자신이 소유한 휴대폰으로 옮기는 것으로, 보안 코드를 가로채고 온라인 계정을 장악하며 자금을 이체하는 방식이다. 이 작업에는 프로그래밍 기술이 필요 없었고, 핵심은 사회공학(social engineering)—즉, 통신사 직원을 설득하거나 뇌물로 매수해 번호를 '활성화'하게 만드는 기술—에 있었다.
노아는 빠르게 뛰어난 대화 실력을 발휘했다. 또래보다 훨씬 낮은 목소리를 갖고 있어 피해자들을 속여 개인 정보를 받아내는 데 능했다. 또한 그는 부모님 덕분에 사회공학 능력을 키웠다고 말한다. "예의 바르고 존중하는 태도, 이것이 제가 어릴 때 배운 가장 중요한 두 가지입니다."
노아는 <마인크래프트>를 통해 알게 된 SIM 스왑 조직의 리더에게서, 전화를 통해 암호화폐 훔치기에 성공할 때마다 50달러를 받았다. 첫 주에만 3,000달러를 벌었다.
어린 시절 노아 어반의 사진.
출처: Rob Urban
노아는 돈이 부족한 편은 아니었다. 부모님은 그가 어릴 때 이혼했지만 모두 여유로운 생활을 하고 있었다. 어머니는 올랜도 북부의 폐쇄형 공동주택에 거주하며 인사관리 업무를 했고, 아버지는 해군 예비역으로 온라인 마케팅 회사를 운영하며 수영장과 자쿠지가 딸린 집을 소유했다.
하지만 SIM 카드 스왑에서 오는 스릴과 현실에서는 찾기 힘든 우정이 노아를 매료시켰다. "월마트 근처에 줄 선 10명과 함께 있다면 아마 잘 맞는 사람이 많지 않을 거예요," 그는 말했다. "하지만 온라인에서 관심사가 같은 사람들과 친구를 골라낼 수 있다면, 정말 쉽게 어울릴 수 있죠."
노아는 약 15명의 플레이어로 구성된 그룹에 합류했다. 그 중에는 오레곤 주 포틀랜드 출신의 17세 소년 다니엘 저언크(Daniel Junk)와 스코틀랜드 출신의 또 다른 17세 소년 테일러 뷰캐넌(Tyler Buchanan)이 포함되었다. 노아에 따르면, 그들은 암호화폐 지갑 업체 레저(Ledger SAS)에서 훔쳐낸 데이터베이스를 구입했는데, 여기에는 암호화폐 보유자들과 이메일 주소가 리스트 형태로 담겨 있었다. 다음 단계는 이 이메일 계정에 침입하는 것이었고, 그들은 아웃룩(Outlook), AOL 또는 야후!(Yahoo!) 계정을 사용하는 사람들을 먼저 찾아냈다. 그런 계정이 가장 쉽게 해킹될 수 있다고 알려주었다.
이 새로운 친구들은 'Com'(Community)이라는 지하 네트워크의 일원이었다. 이 네트워크는 디스코드와 텔레그램에 광범위하게 퍼져 있었으며, 많은 젊은이들이 모여 희귀한 사용자 이름, 비디오 게임 아이템, 그리고 계정 탈취를 통해 얻을 수 있는 암호화폐를 찾곤 했다. FBI는 2018년부터 'Com'을 수사하기 시작했으며, 수사관들의 추정에 따르면 그 시점까지 이 집단은 이미 5,000만 달러를 훔쳤다.
'Com' 멤버들이 암호화폐를 훔치는 것이 얼마나 쉬운지 알게 되자, SIM 카드 스왑에 대한 수요도 증가했다. 누군가는 T-모바일 US Inc.나 AT&T Inc. 같은 통신사의 콜센터 지원 외주직원들이 가장 속기 쉬운지 추측하기도 했고, 누군가는 아이들을 고용해 매장에 들어가 고객 서비스 담당자의 아이패드를 훔치기도 했다. 재미삼아 도둑들은 이런 행동을 자주 촬영해 온라인에 올리곤 했다.
촬영: Jakub Porzycki/Getty Images
노아는 저언크가 자신의 개인용 컴퓨터를 T-모바일 기업망에 등록하고 원격 접속 소프트웨어를 이용해 회사의 SIM 활성화 도구에 접속하는 방법을 발견했다고 말했다. 때로는 몇 달 동안이나 유지되기도 했다. T-모바일이 의심스러운 로그인을 감지하면 계정을 재설정하여 저언크를 차단했다. 그래서 저언크는 직원들로부터 로그인 정보를 속여내도록 노아에게 돈을 주며 전화를 걸게 했다. 노아는 IT 부서 직원인 것처럼 위장해 성공적으로 로그인 정보를 빼냈다.
SIM 스왑에 참여하는 다른 사람들은 디스코드에서 노아의 통화 과정을 듣곤 했고, 동시에 <카운터스트라이크>(Counter-Strike)나 <콜 오브 듀티>(Call of Duty)를 플레이했다. 또한 저언크가 준비한 대본을 읽었다. "안녕하세요, 저는 케빈(Kevin)입니다." 대본의 첫 문장은 이렇게 시작했다. "저는 T-모바일 내부 보안관리부서에서 전화 드렸습니다." 무심코 시스템에 노아를 접속시킨 판매 담당자가 나타날 때마다, 저언크와 그의 친구들은 숨죽이며 모든 말을 들었다. 노아가 실수를 할 때면 그들은 배를 잡고 웃었다. (T-모바일 대변인은 회사가 "불법적인 SIM 스왑을 줄이기 위해" 보안 조치를 개선했다고 밝혔다.)
점점 더 많은 사람들을 속이면서 노아는 그들이 예측 가능할 뿐 아니라 본질적으로 선하다는 것을 깨달았다. IT 티켓을 직접 제출했다고 믿게 만들기는 어려웠지만, 티켓이 실수로 자신의 계정에 연결됐다는 말을 하면—그냥 티켓을 닫아줘서 일을 끝내게 도와줄 수 있겠냐고 물으면—거의 항상 협조했다. 노아가 새로운 계정에 침입할 때마다, 새 친구들로부터 받는 인정은 <마인크래프트>에서 느끼는 만족감을 넘어서는 것이었다.
"이렇게 어린 아이들이 세상 어딘가에서 총격 사건을 조종할 수 있고도 거의 책임을 지지 않는다는 사실이 충격적이에요."
노아의 어머니는 그가 무슨 짓을 하는지 의심하기 시작했다. 낯선 사람들이 주문한 피자가 집 앞으로 배달되기 시작했고, 그녀는 SIM 스왑 관련 대화를 듣게 되었다. 그녀가 더 엄격한 규칙을 정하려 하자, 16세의 노아는 아버지와 함께 살기 위해 집을 나갔다.
로버트 어반(Robert Urban)은 플로리다 주 델란에 있는 다섯 침실짜리 집에 살고 있다. 차고에는 도구들이 가득하고, 거실에는 파트너의 두 아이 장난감이 널려 있다. 흰색 말티즈 강아지가 그의 발치에서 짖고 있다. 그는 노아가 자신을 '실패자(buster)'라고 부르기 시작했을 때 변화를 눈치챘다고 말한다. 그때 노아는 약 15세였다. "당신은 페라리도 안 타고, 주택 담보대출도 갚고, 열심히 일해도 힘들어하지 않아?" 노아가 말했던 말을 그는 기억한다. 그 이후로 어반은 아들의 행동에 '극심한 변화'가 생겼다고 느꼈다.
디자이너 의류가 집 앞으로 배달되거나, 드문 사회적 자리에서 노아가 3만 5천 달러짜리 다이아몬드가 박힌 로렉스 시계와 루이비통 운동화를 신고 나타날 때마다, 그는 아버지에게 이것이 <마인크래프트>에서 물건을 팔아 벌었고 그 돈으로 암호화폐에 투자했다고 설명했다. 어반 본인도 비트코인을 좋아했고, 아들의 성공을 친구들에게 자랑하기도 했다.
어반은 노아에게 암호화폐 자산 일부를 현금화해 더 전통적인 투자에 활용하길 권유했다. "아니에요, 아빠," 노아는 대답했다. "제 나름의 계획이 있어요." 대신 그는 'Elijah'라는 이름의 <마인크래프트> 계정을 8만 달러에 사들였고, 트위터 아이디 '@e'를 3만 달러에 구입했으며, '@autistic'라는 아이디도 또 다른 '어이없는' 금액으로 구매했다.
플로리다 주 델란에 있는 로버트 어반의 집.
촬영: Michelle Bruzzese/Bloomberg Businessweek
노아는 빠르게 자신의 전화 사기원들을 고용하기 시작했고, 그 중에는 저스틴도 포함되었다. 통신사 계정의 보안 수준에 따라 60달러에서 최대 1,000달러까지 보수를 지급했다. 만약 사기원이 직원으로 하여금 원격 접속 도구를 설치하게 만들면 최대 4,000달러를 주었다. 전 세계적으로 학교가 폐쇄된 팬데믹 기간, 노아는 직원들이 더 많은 자유 시간을 갖게 된 것에 매우 만족했다.
통신사 접근권의 불안정은 일부 SIM 스왑러들 사이에서 서로 훔치는 일이 발생하게 했다. 일부는 '도킹(doxing)'이라 불리는 행위를 하며, 다른 해커의 실명과 개인정보를 온라인에 공개해 협박하기 시작했다. <블룸버그 비즈니스위크>는 수십 개의 디스코드 및 텔레그램 영상을 확인했는데, 이 영상들 속 젊은이들은 각자의 SIM 스왑 파벌 이름을 외치며 주택에 벽돌을 던지는 모습을 보였다. 이 행위는 '브릭킹(bricking)'이라 불린다. 그들은 상대방 여자친구의 누드 사진과 개인정보를 해킹해 유출하고, 다른 이들에게 그녀들을 괴롭히도록 조장하기도 했다. 'Com' 멤버의 여자친구들을 모욕하기 위한 전용 텔레그램 채팅방도 존재했다.
펜실베이니아 주 이스트윈저-이스트고셴 경찰서의 형사 데이비드 헤일(David Hale)은 2022년 1월 'Com'에 대해 알게 되었다. 그는 부유한 교외 지역의 한 주택에서 거실에 8발의 총탄이 발사된 사건을 조사하기 위해 출동했다. 그 집에는 세 명이 있었다. 이 사건 2주 전, 같은 지역의 또 다른 주택에서는 화염병 테러가 신고되었다. 두 공격 모두 'Com'과 관련된 젊은 여성들을 겨냥한 것이었다. "이렇게 어린 아이들이 세계 어딘가에서 총격 사건을 조종할 수 있고도 거의 책임을 지지 않는다는 사실이 충격적이에요," 헤일은 말했다.
노아는 내부 분쟁에 직접 관여하지 않았지만, 문제는 찾아올 것임을 알고 있었다. 2021년, 해커들이 그의 어머니 집에 벽돌을 던졌고, 그는 아직 거기 살고 있다고 착각했다. 그녀는 익명의 메시지를 받았고, 아들이 수십만 달러의 암호화폐를 이전하지 않으면 공격을 계속하겠다는 위협을 받았다. 노아는 거절했고, 결국 공격은 멈췄다.
앨리슨 닉슨(Allison Nixon)은 점점 더 걱정이 커졌다. 사이버보안 업체 Unit221B의 수석 연구 책임자인 그녀는 해커들이 경찰 수사를 피하는 것에 좌절했으며, 그들의 공격이 점점 더 공격적으로 변하는 것에 우려했다.
사이버보안 업계의 성인들은 일반적으로 청소년 해커들에게 관대한 태도를 취하며, 그들의 재능을 산업으로 유도하려 한다. 그러나 닉슨은 이런 접근법이 더 이상 효과가 없다고 판단했다. "이 문제를 해결할 유일한 방법은," 그녀는 말했다. "정부가 폭력적인 거리 갱단을 다루듯이 역사적으로 이 문제를 해결하는 것입니다."
그녀의 제안은 정부 관계자들에게 공감을 얻지 못했다. 그녀는 이들을 "완전히 당황한 상태"라고 묘사하며, 마치 아이들을 인터넷에서 쫓는 것보다 더 중요한 일이 있는 것처럼 행동한다고 말했다. 그녀와 다른 사이버보안 조사관들은 법 집행 기관에 경고했다. 'Com' 멤버들이 더 큰 위협이 될 수 있다고.
2022년, 노아는 고등학교 졸업을 앞두고 있었다. 그는 점점 더 고립되었고, 모임이나 댄스파티에는 참석하지 않았으며, 학생들이 마스크를 쓰고 있는 모습을 담은 유튜브 합집단 영상 제출도 놓쳤다. 법원 기록에 따르면, 노아는 이미 백만장자였지만, 범죄 사업을 새로운 차원으로 끌어올리는 데 더욱 집중하고 있었다.
"나는 단지 재정적 자유를 원했고, 하루 종일 친구들과 놀며 음악을 듣고 싶었을 뿐이에요."
새로운 암호화폐 보유자 명단을 찾던 중, 노아는 통신기술 기업 트윌리오(Twilio Inc.)를 공격할 아이디어를 떠올렸다. 이 회사의 소프트웨어는 고객과의 문자 및 전화를 관리하기 위해 5만 개의 기업에서 사용되고 있었으므로, 그는 여기에 가치 있는 데이터가 많을 것이라고 생각했다. 2022년 8월, 그가 18세 생일을 맞기 몇 주 전, 그와 친구들은 가짜 도메인을 구입했다. 이 페이지는 사용자 인증 기업 오크타(Okta Inc.)의 로그인 페이지처럼 보였고, 트윌리오 직원들에게 링크가 담긴 문자를 보냈다.
"경고!!! 귀하의 Twilio 일정이 변경되었습니다. twilio-okta.com에서 변경 사항을 확인하세요!"
노아는 트윌리오 직원 한 명을 성공적으로 속였다. 그러나 그 직원이 원하는 데이터를 갖고 있지 않았을 때, 그는 해당 직원의 슬랙(Slack) 계정에 로그인해 링크드인(LinkedIn)에서 찾은 고위직 직원에게 메시지를 보냈다. "기본적으로 나는 우리가 감사를 위해서든 뭐든 그런 데이터가 필요하다고 말했어요," 노아는 말했다. "그러자 그는 데이터베이스를 내보내 제게 보내줬습니다."
트윌리오의 기업 고객 접근 코드를 통해 노아와 공범들은 더 많은 기업에 침입할 수 있었다. 총 209개의 트윌리오 고객사의 고객 데이터, 즉 문자 인증 코드까지도 확보하게 되었다. "우리는 마치 신 같다고 느꼈어요," 노아는 말했다.
며칠 후, 트윌리오를 돕는 사이버보안 회사 그룹아이비(Group-IB)가 데이터 유출 사건을 블로그에 발표하며 해커들을 '0ktapus'로 명명했다. 놀란 노아는 3,000달러짜리 컴퓨터와 휴대폰을 버리고 새 장비를 구입했다. 얼마 후, 한 0ktapus 멤버가 데이터를 다른 SIM 스왑러에게 공유했고, 그 데이터는 다시 널리 퍼졌다. 점점 더 많은 'Com' 멤버들이 데이터베이스에서 이름을 골라내자, 이 데이터는 검은 시장에서 더 이상 가치가 없어졌다.
사진: Jaque Silva/Getty Images
노아의 팀원들은 잠시 잠잠해졌지만, 경찰이 찾아오지 않자 다시 더 대담해졌다. 그룹아이비에 따르면, 0ktapus는 2022년 내내 수천 명의 직원 인증 정보를 훔쳤다. 기업 계정에 성공적으로 침입하면, 더 높은 권한을 가진 직원을 찾아 표적으로 삼았다. 같은 해 12월, 이 조직은 윈클보스(Winklevoss) 쌍둥이가 소유한 암호화폐 거래소 젬니트러스트(Gemini Trust Co.)의 고객 570만 명의 개인정보를 훔쳐 범죄 포럼에서 판매하려 했다.
노아가 18세가 되자 아버지의 집을 나와 플로리다 주 팜코스트의 조용한 지역에 위치한 장기 에어비앤비에 살기 시작했다. 그는 침대, 책상, 소파, TV를 구입했고, 오레오 쿠키처럼 생긴 털을 가진 '다이애나(Diana)'라는 이름의 고양이도 데려왔다. 그는 말했다. "나는 단지 재정적 자유를 원했고, 하루 종일 친구들과 놀며 음악을 듣고 싶었을 뿐이에요."
일주일에 한 번, 그는 닷지 챌린저(Dodge Challenger)를 몰고 상업지구로 가 올리브가든(Olive Garden)과 철판요리점 중 하나에서 식사를 했고, 100~200달러의 현금 팁을 남겼다. 그는 밤늦은 고속도로에서 리얼 위지 벌트(Lil Uzi Vert), 플레이보이 카티(Playboi Carti), 켄 캐슨(Ken Carson)의 음악을 들으며 질주하는 것도 좋아했다.
노아는 'Leakth.is'라는 포럼에서 활발히 활동했고, 이곳에서는 사람들이 좋아하는 아티스트의 '희귀품(treasures)'—즉 미공개 곡—을 공유한다. 그는 유니버설 뮤직 그룹(Universal Music Group NV)과 워너 뮤직 그룹(Warner Music Group Corp.) 직원들을 표적으로 삼아 사운드 엔지니어와 프로듀서들의 드롭박스(Dropbox) 또는 아이클라우드(iCloud) 계정에 침입하려 했다. 그들의 파일 속에 미공개 음악이 있을 것이라고 의심했기 때문이다.
2022년, 노아는 '킹밥(King Bob)'이라는 트위터 계정을 통해 플레이보이 카티의 미공개 곡
노아는 자신만이 '킹밥'이라는 별명을 사용해 음악을 훔친 것은 아니라고 주장하며, 희귀품을 공유하는 것은 도둑질이 아닌 프로모션 행위라고 생각한다고 말했다. 그러나 그가 공격한 사람들은 다르게 생각했다. 카니예 웨스트(Kanye West), A$AP 록키(A$AP Rocky), 플레이보이 카티와 작업한 프로듀서 나시르 펨버턴(Nasir Pemberton)은 노아가 자신의 수백 곡을 훔쳤으며 디스코드에서 드롭박스 스크린샷을 공유했다고 주장했다. "그는 내 삶을 거의 망쳤어요," 펨버턴은 말했다.
"이건 전부 그들의 커뮤니티 내에서의 지위 때문이에요. 단지 과시일 뿐이죠."
0ktapus는 'Com' 내에서 주목받은 유일한 그룹이 아니었다. 또 다른 파벌—나중에 노아의 팀과 연합해 'Scattered Spider'라는 별명을 얻은—도 SIM 스왑을 넘어가려 했다. 이 파벌에는 랩서스$(Lapsus$) 출신 멤버들도 있었는데, 이들은 엔비디아(Nvidia Corp.)와 우버(Uber Technologies Inc.)를 공격한 바 있다. 이 중 한 명은 잭(Jack)이라는 해커로, 자신이 랜섬웨어 제공자들과 연결되어 있으며 고급 보안 도구를 우회할 소프트웨어를 갖고 있다고 자랑했다. (또 다른 멤버 탈하 주바이르(Thalha Jubair)는 검찰에 따르면 'EarthtoStar'라는 별명을 썼으며, 이번 달 영국에서 체포되었다. 미국 검찰은 9월 18일 기소 내용을 공개하며, 현재 19세인 주바이르가 47개 미국 기업을 협박해 총 1억 1,500만 달러를 뜯어냈다고 밝혔다. 그의 영국 변호사는 논평을 거부했다.)
노아는 그들과 협력하는 것이 멋지다고 느꼈다. 그는 잭과 관계를 맺기 시작했고, 잭은 트윌리오 침입을 인상 깊게 여겼지만, 노아와 그 친구들이 기업을 해킹해 데이터베이스를 훔치는 전략은 비하했다. 잭은 침입한 기업을 협박해 돈을 벌면 훨씬 더 빠르다고 생각했다.
노아는 함께 크립토닷컴(Crypto.com)의 직원 계정에 전화로 접근했다고 말했다. 또한 UPS 시스템을 이용해 잠재적 피해자의 개인정보를 수집하기도 했다. (크립토닷컴 대변인은 이번 공격이 언론에 보도된 바 없으며, 영향을 받은 정보는 "극소수 개인"에 국한되며 고객 자금은 침해되지 않았다고 밝혔다. UPS는 2023년 문제를 수정했다고 밝혔지만, 본 기사에 추가 세부 정보를 제공하지 않았다.)
이 그룹은 더 많은 데이터를 원했다. 노아는 가상 수업 사이에 ChatGPT를 사용해 어떤 조직이 암호화폐 훔치기에 필요한 개인정보에 접근할 수 있는지, 어떤 유형의 직원이 그 정보를 가지고 있을지를 연구했다. 2023년 1월, 그들은 비디오 게임 회사 라이엇 게임즈(Riot Games Inc.)를 해킹해 인기 게임 <리그 오브 레전드>(League of Legends)의 소스 코드와 일부 반치트 도구를 훔쳤다. 이 데이터를 돌려주겠다며 1,000만 달러를 요구했는데, 이는 이 그룹이 처음으로 랜섬을 요구한 사건이었다. 라이엇 게임즈는 지불을 거부했다.
노아는 협박 시도에는 관여하지 않았다고 말했지만, 이전에 자신의 전화 사기 기술로 회사에 침입한 바 있다. 도난 기간 동안 자신의 라이엇 게임즈 계정을 업그레이드한 것이 조사관들이 중요하게 본 단서 중 하나였고, 검찰은 며칠 후 그가 공격을 시인하는 듯한 메시지를 보냈다고 주장한다.
노아의 구금 사진.
출처: 볼루시아 카운티 보안관 사무실
2023년 3월 1일 새벽, 모든 것이 무너지기 시작했다. 노아가 고양이와 함께 수의사 진료를 마치고 돌아오는 길, 20명이 넘는 FBI 요원과 경찰이 그의 차량을 포위하고 문을 열라고 요구했다. 그는 다이애나가 도망칠까 봐 잠시 망설였고, 이 때문에 그들이 무엇을 숨기려는지 의심하기도 했다. 그가 설명하자 경찰은 고양이를 집 안으로 데려가게 허락했다.
노아는 소파에 앉아 압수 영장을 읽는 동안 요원들은 집 전체를 수색하며 컴퓨터와 아이폰을 압수했다. 그는 비밀번호를 제공하지 않았다. 아버지에게 전화를 요청하자 FBI 요원이 동의하며 노아의 휴대폰을 얼굴 앞으로 들어 얼굴 인식을 시도했다. "좋은 시도네요," 노아는 생각하면서 몸을 피했다.
검찰에 따르면, 연방 요원들은 약 400만 달러 상당의 암호화폐, 10만 달러 현금, 로렉스 시계를 포함한 10만 달러 상당의 보석류를 압수했다. 또한 지폐계산기와 노아의 소니 플레이스테이션 5도 가져갔다. 노아는 자신에게 16달러와 여권만 남겨졌다고 말했다.
"다른 모든 아버지들처럼, 저는 마음이 아픕니다. 하지만 저는 언제까지나 그를 사랑할 것이며, 제가 죽기 전까지는 그를 포기하지 않을 겁니다."
노아는 당일 체포되지 않았지만, FBI 요원들은 그가 라이엇 게임즈에 침입했으며 여러 암호화폐 도난 사건에 연루되었다고 주장했다. "그들이 저를 앉히며 말했어요. '우리는 당신이 사회공학자(social engineer)라는 걸 알아요.' 노아는 회상했다. '당신이 Scattered Spider의 일원이라는 것도 알고 있어요.'
사실 FBI는 2021년부터 노아를 추적하고 있었다. 그는 오레곤 주 포틀랜드의 SIM 스왑 사건에서 하위 참여자로 기록되었을 때부터였다. 노아는 기술적 능력이 부족했지만, "그때 우리가 알고 있던 최상위 스와퍼 중 한 명이었습니다," 사건을 담당한 특별요원 도글러스 올슨(Douglas Olson)은 말했다. "피해자의 전화번호를 교환하고 개인정보를 획득해 범죄를 저지르는 데 있어 직원들을 속이는 데 매우, 매우 능숙했습니다."
노아는 아버지의 집으로 돌아왔고, 아버지는 아들의 범죄 정도를 듣고 충격을 받았다고 말했다. 같은 달, 그들은 변호사와 함께 포틀랜드로 날아갔다. FBI 요원들은 저언크를 추적하고 있었고, 그는 노아의 파트너 중 한 명이었다. 법원 문서에 따르면, 노아는 2020년 말부터 2023년 초까지 최대 1,500만 달러를 훔쳤다고 검찰에 자백했다. 그는 더 이상 암호화폐를 다루거나 해킹 활동을 하지 않겠다고 말했다.
인터뷰에서의 노아의 발언에도 불구하고, FBI의 올슨은 그가 "후회하는 기색이 전혀 없다"고 판단했다. 올슨은 노아의 전 생활이 사이버 범죄 수행에 중심을 두고 있기 때문에 피해자들에게 무감각해졌다고 말했다. 실제로 노아는 대부분의 수익을 거의 즉시 암호화폐 도박과 게임 사이트에 썼다고 조사관들에게 말했다. "이건 전부 그들의 커뮤니티 내에서의 지위 때문이에요," 올슨은 말했다. "단지 과시일 뿐이죠."
집이 압수된 후에도 노아는 사회공학과 음악 도난 활동을 계속했다고, 조사에 참여했지만 익명을 요구한 FBI 요원이 전했다. 사이버 범죄 연구원들은 Scattered Spider가 압수 후 잠시 잠잠해진 것처럼 보였다고 말했다. 같은 해 9월, 이 조직은 카이사르 엔터테인먼트(Caesars Entertainment Inc.)를 해킹해 카지노 기업에 1,500만 달러를 협박했다. 관련知情자는 카이사르가 논평 요청에 응답하지 않았다고 밝혔다.
며칠 후, MGM 리조트(MGM Resorts)는 해커가 시스템에 침입해 직원들의 오크타 비밀번호를 훔쳤다는 사실을 발견했다. MGM은 컴퓨터 시스템을 종료했다. 라스베이거스의 카지노 홀에서 슬롯머신의 지불 기능이 작동을 멈췄다. 당시 연방거래위원회(FTC) 위원장이던 리나 칸(Lina Khan)을 포함한 손님들이 방 밖에 잠겨버렸다. 회사는 몸값을 지불하지 않았지만, 이번 공격으로 1억 달러의 손실을 입었다고 추정했다.
이 사건은 충격적이었다. 랜섬웨어는 보통 러시아어를 사용하는 그룹의 전유물이었지만, 이제는 가까운 곳의 해커들이 그것을 사용하고 있다는 증거가 나타난 것이다.
사이버보안 회사 크라우드스트라이크(CrowdStrike Holdings Inc.)와 매니언트(Mandiant)는 Scattered Spider가 수개월간 고객들을 적극적으로 추적해왔다고 밝혔다. 이 회사들은 고객 서비스 직원과 Scattered Spider 간의 통화 녹음을 사이버보안 회사들과 공유했고, 연구원들은 익숙한 악센트를 듣고 놀랐다. 암호화폐 거래소 코인베이스(Coinbase Global Inc.)의 최고정보보안책임자(CISO) 제프 런글호퍼(Jeff Lunglhofer)는 2023년 이들을 "젊고 말이 빠른 남성들"이라고 묘사하며 "반응이 빠르고, 심지어 영리하기까지 하다"고 말했다.
MGM 공격 발생 한 달 후, 마이크로소프트(Microsoft Corp.)는 블로그 글에서 Scattered Spider의 랜섬 편지가 점점 더 공격적으로 변하고 있다고 설명했다. 이들은 가족 주소와 성씨, 신체적 위협을 사용해 사람들이 비밀번호나 코드를 공유하도록 강요했다고 마이크로소프트는 밝혔다. 같은 해 11월, 미국 국토안보부는 Scattered Spider가 러시아어를 사용하는 랜섬웨어 그룹 Al
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@Bloomberg
