악명 높은 "스캐터드 스파이더" 갱단에서 노아 어번의 역할은 사람들을 설득하여 범죄자들에게 자신도 모르게 중요한 컴퓨터 시스템에 접근할 수 있도록 하는 것이었습니다.
2022년 9월 어느 오후, 금색 가방 이모티콘과 광대 이모티콘, 그리고 "웃기다"와 "웃기다"라는 이모티콘으로 가득 찬 텔레그램 그룹 채팅방에 피투성이가 된 십 대 소녀의 픽셀화된 이미지가 나타났습니다. 당시 플로리다 팜 코스트에 살았던 18세 노아 어번은 그 영상을 클릭했습니다.
영상에서 이 십 대 소년은 노아에게 납치범에게 20만 달러를 송금해 달라고 간청합니다. 납치범은 그의 머리에 총을 겨누고 있습니다. "엘리야, 친형님, 우리가 예전에 같이 일했던 거 아시죠?" 노아라는 가명을 쓴 이 십 대 소년이 말합니다. 그의 얼굴은 부어 있었고, 입은 피투성이가 되어 입고 있던 흰색 홀리스터 스웨트셔츠에 흘러내립니다. "내가 항상 네 편이라는 거 알잖아. 그냥 말해. 네가 원하는 건 뭐든 해줄게."
노아는 그 십 대 소년을 바로 알아보았습니다. 저스틴은 그를 위해 일하며 암호화폐를 훔치는 것을 도왔습니다. 그는 저스틴의 본명은 몰랐지만, 납치범들과 타협할 수 없다는 것을 알고 있었습니다. 게다가 영상이 가짜일지도 모른다고 생각했습니다. 그래서 돈을 송금하지 않았습니다.
이런 영상들은 대부분의 십 대들에게는 공포스러울지 모르지만, 2022년 무렵 노아는 이미 그런 영상을 잔뜩 접했습니다. 그는 나중에 "테크 플로우 (techflowpost) 스파이더(Scattered Spider)"라는 별명으로 알려진 마지 머피(Margi Murphy)라는 사이버 범죄 조직의 일원으로 FBI를 피해 도주 중이었습니다. 이 조직은 미국과 영국의 여러 기업을 대상으로 수십 건의 공격을 감행하며 세계에서 가장 악명 높은 사이버 범죄 조직 중 하나로 성장했습니다. 그중에서도 가장 심각한 사건으로는 2023년 MGM 리조트 인터내셔널(MGM Resorts International)을 겨냥한 랜섬웨어 공격이 있습니다. 이 공격은 카지노의 컴퓨터 시스템을 마비시키고 회사에 1억 달러의 손실을 입혔으며, 올해 초 영국 소매업체 마크스 앤 스펜서 그룹(Marks & Spencer Group Plc)을 겨냥한 공격은 약 4억 달러의 손실을 입힌 것으로 추산됩니다.
FBI와 영국 국가범죄수사국(National Crime Agency)은 스캐터드 스파이더(Scattered Spider)를 우선 공격 대상으로 지정했습니다. 미국 사이버보안 및 인프라 보안국(CISA)은 이 조직을 "미국 기관에 심각하고 지속적인 위협"으로 규정했습니다. 사이버 보안 회사 맨디언트(Mandiant)는 이 조직을 "유럽과 미국 기관에 가장 공격적이고 침투력이 강한 위협 행위자" 중 하나로 분류했습니다. 작년에 "60분" 방송에서도 스캐터드 스파이더와 러시아 랜섬웨어 해커들의 연관성을 보도했습니다.
노아는 링에서 "콜러"라는 핵심 역할을 맡았습니다. 그의 이야기는 기술적 지식이 부족한 고등학생이 어떻게 게임 중독에서 벗어나 암호화폐를 빠르게 훔치고, 전화 사기를 통해 통신 및 기술 기업의 컴퓨터 네트워크에 접근하여 민감한 데이터를 훔치는지 보여주는 경고적인 이야기입니다. 플로리다 중부의 중산층 가정에서 자란 그는 크록스 샌들과 보드 반바지를 신고 낚시를 하고, 게이터랜드에서 짚라인을 타고, 유니버설 스튜디오 올랜도를 방문했습니다. 평범한 남자아이들의 일상이었습니다. 그러나 그의 범죄 행위가 심화되면서 가상 세계에서의 활동이 현실 세계로 확대되기 시작했습니다. 납치, 방화, 성폭행 사건들이 법 집행 기관의 주목을 받았습니다. 노아가 온라인에서 사귀었던 친구들은 이제 장기 징역형을 선고받을 위기에 처했습니다.
이 보고서는 법원 문서, 디스코드 및 텔레그램 메시지 대화, 그리고 수십 명의 위협 정보 분석가, 법 집행관, 그리고 노아의 범죄 경력에 정통한 사람들과의 인터뷰를 바탕으로 작성되었습니다. 여기에는 플로리다 교도소에서 블룸버그 비즈니스위크와 수십 건의 전화 통화를 하며, 형을 선고받을 때까지 대화 내용을 보도하지 말아 달라고 요청한 노아 본인도 포함됩니다.
안녕하세요, 저는 케빈입니다. T-Mobile 내부 보안을 대신하여 전화드렸습니다.
노아는 사실 해커는 아니었습니다. 페이스북이 출범한 해인 2004년에 태어났습니다. 프로그래밍보다는 수영과 럭비를 더 좋아했습니다. 친구 몇 명과 고등학교 시절 연인이 있었지만, 대부분 혼자 지내며 수업에 거의 참여하지 않았습니다. "저는 좀 특이한 아이였어요." 노아는 회상합니다. "친구가 많지 않아서 사람들과 어울리면서 얻는 사회적 신호를 제대로 파악하지 못했죠." 졸업 3년 후, 그가 가장 좋아했던 선생님은 그를 기억조차 하지 못했습니다.
노아는 여덟 살이나 아홉 살 때 마인크래프트를 시작했습니다. 열다섯 살 때 게임을 통해 사람들을 만나면서 SIM 스와핑 사기에 대해 처음 알게 되었습니다. 이 사기는 누군가의 전화번호를 다른 사람의 휴대폰으로 옮겨 보안 코드를 가로채고, 온라인 계정을 탈취하고, 자금을 이체하는 수법입니다. 이 작전에는 프로그래밍 기술이 전혀 필요하지 않습니다. 핵심 기술은 소셜 엔지니어링, 즉 통신사 직원을 설득하거나 뇌물을 주어 번호를 "활성화"하는 것입니다.
노아는 뛰어난 대화 실력을 빠르게 발휘했는데, 나이를 잊게 하는 깊은 목소리 덕분에 피해자들을 속여 개인 정보를 빼내는 데 성공했습니다. 그는 또한 자신의 소셜 엔지니어링 기술을 부모님 덕분이라고 여겼습니다. "어렸을 때 가장 중요하게 배운 두 가지는 예의와 존중이었습니다."라고 그는 말했습니다.
노아가 마인크래프트를 통해 만난 SIM 교환 조직 두목은 노아가 휴대전화로 암호화폐를 훔칠 때마다 50달러를 지불했습니다. 그는 첫 주에 3,000달러를 벌었습니다.
노아는 돈이 부족하지 않았습니다. 부모님은 그가 어렸을 때 헤어지셨지만, 두 분 다 넉넉하게 사셨습니다. 어머니는 올랜도 북쪽의 게이트 커뮤니티에 집을 소유하고 인사부에서 일하셨습니다. 해군 참전 용사였던 아버지는 온라인 마케팅 회사를 운영하셨는데, 근처에 수영장과 자쿠지가 있는 집을 소유하고 계셨습니다.
하지만 노아는 SIM 카드 교환의 짜릿한 스릴과 현실에서는 찾아보기 힘든 동지애에 매료되었습니다. "월마트에서 열 명과 함께 줄을 서 있다면, 아마 마음이 맞는 사람을 많이 찾기는 힘들 거예요."라고 그는 말합니다. "하지만 온라인에서 공통 관심사를 공유하는 친구를 고를 수 있다면, 훨씬 더 쉽게 친해질 수 있죠."
노아는 오리건주 포틀랜드 출신의 17세 다니엘 정크와 스코틀랜드 출신의 17세 타일러 뷰캐넌을 포함한 약 15명의 게이머로 구성된 그룹에 합류했습니다. 노아는 암호화폐 지갑 회사인 레저 SAS(Ledger SAS)에서 도난당한 데이터베이스를 구매했는데, 이 데이터베이스는 암호화폐 보유자와 이메일 주소 목록을 제공했습니다. 다음 단계는 해당 이메일 계정에 접근하는 것이었고, 아웃룩, AOL, 야후 계정을 가진 사람을 찾기 시작했습니다. 그들은 노아에게 이러한 계정이 가장 쉽게 해킹될 수 있다고 말했습니다.
이 새로운 친구들은 "Com"이라는 지하 네트워크의 일원이었습니다. 이 네트워크는 디스코드와 텔레그램에 퍼져 있는 젊은이들로, 계정 탈취를 통해 훔칠 수 있는 귀중한 사용자 이름, 비디오 게임 전리품, 그리고 암호화폐를 노렸습니다. FBI는 2018년에 "Com"에 대한 수사를 시작했으며, 수사관들은 당시 이 조직이 5천만 달러를 훔쳤다고 추정했습니다.
점점 더 많은 "Com" 회원들이 암호화폐를 훔치는 것이 얼마나 쉬운지 알게 되면서 SIM 카드 교체 수요가 증가했습니다. 어떤 이들은 T-Mobile US Inc.나 AT&T Inc.와 같은 콜센터 지원 계약업체 중 어떤 통신사가 사기에 가장 취약한지에 대해 추측했습니다. 어떤 이들은 아이들을 고용하여 휴대폰 매장에 침입하고 고객 상담원의 아이패드를 훔쳤습니다. 도둑들은 재미 삼아 이러한 행위를 촬영하여 온라인에 올리는 경우가 많았습니다.
노아는 얀키가 자신의 개인 컴퓨터를 회사 네트워크에 등록하고 원격 접속 소프트웨어를 사용하여 T-Mobile의 SIM 카드 활성화 도구에 접근하는 방법을 알아냈다고 말했습니다. T-Mobile은 의심스러운 로그인을 감지하면 계정을 재설정하여 얀키가 접속할 수 없도록 했습니다. 그래서 얀키는 노아에게 돈을 주고 직원들에게 전화를 걸어 로그인 정보를 빼내도록 했습니다. 노아는 IT 부서 직원인 척하며 성공적으로 로그인 정보를 확보했습니다.
SIM 스와핑에 연루된 다른 사람들은 카운터 스트라이크나 콜 오브 듀티를 플레이하면서 디스코드에서 노아의 통화를 엿듣고, 잰키가 노아를 위해 작성한 대본을 읽곤 했습니다. 대본은 "안녕하세요, 저는 케빈입니다."로 시작하며, "T-Mobile 내부 보안팀을 대신하여 전화드립니다."라고 했습니다. 예상치 못한 영업 담당자들이 실수로 노아를 시스템에 접속시켰을 때, 잰키와 그의 친구들은 노아의 말 한마디 한마디에 귀를 기울였습니다. 노아가 실수를 하면, 그들은 웃음을 터뜨렸습니다. (T-Mobile 대변인은 "불법 SIM 스와핑을 줄이기 위해" 보안 조치를 개선했다고 밝혔습니다.)
노아는 점점 더 많은 사람들을 속이면서, 자신이 노리는 대상들이 예측 가능할 뿐만 아니라 본질적으로 악의적이지 않다는 것을 깨달았습니다. 직원들에게 IT 티켓을 제출했다는 사실을 납득시키는 것은 어려웠지만, 티켓이 실수로 계정에 연결되었을 것이라고 설득할 수 있었습니다. 노아가 업무를 마무리할 수 있도록 티켓을 닫아줄 수 있을까요? 직원들은 거의 항상 응했습니다. 노아가 새로운 계정을 자신의 계정으로 유인했을 때, 새로운 친구들의 확인은 마인크래프트 게임보다 더 만족스러웠습니다.
"어린 아이들이 이렇게 적은 책임감으로 세계 어딘가에서 총격을 일으킬 수 있다는 건 충격적입니다."
노아의 엄마는 아들이 뭔가 꾸미고 있다고 의심하기 시작했습니다. 낯선 사람들이 주문한 의문의 피자가 집 앞에 도착하기 시작했습니다. SIM 카드 교환에 대한 대화도 엿들었습니다. 엄마가 더 엄격한 규칙을 적용하려 하자, 16살 노아는 아버지와 함께 살게 되었습니다.
로버트 어번은 플로리다주 델랜드에 있는 방 다섯 개짜리 집에 산다. 차고에는 공구가 산더미처럼 쌓여 있고, 거실에는 파트너의 두 아이를 위한 장난감들이 가득하다. 하얀 말리누아가 그의 발치에서 짖어댄다. 그는 노아가 자신을 "버스터"라고 부르기 시작했을 때 변화가 생겼다고 한다. 당시 노아는 열다섯 살쯤이었다. 그는 노아가 "페라리도 못 몰고, 대출도 받고, 벼락부자처럼 일하는데도 여전히 힘들어요."라고 말했던 것을 떠올린다. 그때부터 어번은 아들의 행동에 "엄청난 변화"가 생겼다는 것을 깨달았다.
명품 옷이 집 앞에 도착하거나, 드물게 사교 모임이 있을 때, 예를 들어 노아가 3만 5천 달러짜리 다이아몬드가 박힌 롤렉스 시계와 루이비통 스니커즈를 신었을 때, 그는 아버지에게 마인크래프트를 통해 아이템을 판매하고 그 수익금을 암호화폐에 투자한다고 말하곤 했습니다. 비트코인 팬인 어반은 친구들에게 아들의 성공을 자랑했습니다.
어반은 노아에게 암호화폐 보유 자산 중 일부를 현금화해 좀 더 전통적인 투자 상품에 투자하라고 설득하려 했습니다. 노아는 "아니요, 아빠."라고 말하며 "계획이 있어요."라고 답했습니다. 하지만 그는 엘리야라는 사용자 이름으로 마인크래프트 계정에 8만 달러를, 트위터 @e에 3만 달러를, 그리고 @autistic에 "말도 안 되는" 금액을 추가로 투자했습니다.
노아는 곧 자신이 아는 저스틴을 포함한 사기꾼들을 고용하기 시작했습니다. 그는 통신사 계정의 보안 수준에 따라 60달러에서 1,000달러까지 지불했습니다. 직원들에게 원격 접속 도구를 설치해 달라고 요청하면 최대 4,000달러까지 지불했습니다. 코로나19 팬데믹으로 전국의 학교가 문을 닫았을 때, 노아는 직원들이 얻은 여유 시간에 감사했습니다.
통신사에 간헐적으로 접속하는 SIM 스와핑 사용자들 사이에서 절도가 빈번하게 발생했습니다. 일부는 다른 해커들의 실명과 개인 정보를 온라인에 게시하여 협박하는 "독싱(doxing)"을 이용하기도 했습니다. 블룸버그 비즈니스위크는 젊은이들이 각자의 SIM 스와핑 파벌의 이름을 외치며 집에 벽돌을 던지는 "브리킹(bricking)"이라는 행위를 담은 디스코드와 텔레그램 영상 수십 개를 분석했습니다. 이들은 또한 경쟁사 여자친구의 누드 사진과 개인 정보를 해킹하여 유출함으로써 다른 사람들이 자신을 괴롭히도록 부추깁니다. 심지어 "컴(Com)" 회원들의 여자친구를 모욕하는 데 전념하는 텔레그램 채팅방도 있습니다.
펜실베이니아 동부 웨스턴-이스트 고센 경찰서의 데이비드 헤일 형사는 2022년 1월, 부유한 교외 지역의 한 주택으로 출동하여 거실에 세 명이 있는 거실에 총 8발의 총격이 가해진 후 "콤(Com)"이라는 단체에 대해 알게 되었다고 말했습니다. 2주 전에는 같은 지역의 다른 주택에서 방화 공격이 신고되었습니다. 두 공격 모두 "콤"과 관련된 젊은 여성들을 표적으로 삼았습니다. 헤일 형사는 "이렇게 어린 나이에 세상 어딘가에서 이렇게 책임감 없는 총격 사건을 일으킬 수 있다는 것은 충격적입니다."라고 말했습니다.
노아는 내부 갈등에는 관여하지 않았지만, 문제가 곧 닥칠 것을 알고 있었다고 말했습니다. 2021년, 해커들은 노아의 어머니가 아직 집에 살고 있다고 생각하고 집에 벽돌을 던졌습니다. 어머니는 아들이 수십만 달러 상당의 암호화폐를 송금하지 않으면 공격을 계속하겠다고 위협하는 익명의 메시지를 받았습니다. 노아는 이를 거부했고, 결국 공격은 중단되었습니다.
앨리슨 닉슨은 점점 더 우려하고 있습니다. 사이버 보안 회사 Unit221B의 최고 연구 책임자인 그녀는 해커들이 경찰의 감시를 피하고 있으며, 공격의 공격성이 너무 공격적이라는 점에 대해 우려하고 있습니다.
사이버 보안 분야의 어른들은 종종 십 대 해커들을 용인하며, 그들의 재능을 십분 활용하기 위해 산업계로 진출하도록 유도합니다. 하지만 닉슨은 이러한 접근 방식이 더 이상 효과적이지 않다고 생각합니다. 그녀는 "이 문제를 해결할 수 있는 유일한 방법은 정부가 역사적으로 폭력적인 거리 갱단을 다루어 온 방식으로 이 문제를 해결하는 것"이라고 말합니다.
그녀의 조언은 정부 관리들에게 공감을 얻지 못했습니다. 그녀는 그들이 "완전히 압도당해" 마치 온라인에서 아이들을 쫓는 것보다 더 중요한 일이 있는 것처럼 행동한다고 묘사했습니다. 그녀와 다른 사이버 보안 조사관들은 "Com" 회원들이 더 큰 위협이 될 수 있다고 법 집행관들에게 경고했습니다.
2022년, 노아는 고등학교 졸업을 앞두고 있었습니다. 그는 점점 더 내성적이 되어 집회와 댄스 파티에 참석하지 않았고, 반 친구들이 마스크를 쓴 모습이 담긴 유튜브 편집 영상을 제출하지 않았습니다. 법원 기록에 따르면, 노아는 이미 백만장자였지만, 자신의 범죄 사업을 한 단계 더 발전시키는 데 더 집중하고 있었습니다.
"저는 단지 재정적 자유를 원할 뿐이에요. 친구들과 어울리고 하루종일 음악을 듣고 싶어요."
새로운 암호화폐 보유자 목록을 검색하던 중, 노아는 통신 기술 회사인 트윌리오(Twilio Inc.)를 공략하는 아이디어를 떠올렸습니다. 5만 개 기업이 고객과의 문자 메시지 및 통화 관리에 트윌리오 소프트웨어를 사용하고 있었기에, 노아는 이 소프트웨어가 귀중한 데이터를 대량 보유하고 있을 것이라고 생각했습니다. 2022년 8월, 18번째 생일을 몇 주 앞둔 시점에, 노아는 친구와 함께 사용자 인증 회사인 오케이타(Okta Inc.)의 로그인 페이지와 유사한 웹페이지가 있는 가짜 도메인을 구매하고 트윌리오 직원들에게 링크가 포함된 문자 메시지를 보냈습니다.
"경고!!! Twilio 일정이 변경되었습니다. twilio-okta.com을 방문하셔서 변경 사항을 확인하세요!"
노아는 Twilio 직원을 속여 원하는 데이터를 얻어냈습니다. 하지만 그 직원이 원하는 데이터를 가지고 있지 않자, 노아는 그 직원의 Slack 계정에 로그인하여 LinkedIn에서 찾은 상위 직급의 직원에게 메시지를 보냈습니다. "감사 목적 등으로 이 데이터가 필요하다고 말씀드렸죠." 노아가 말했습니다. "그들은 데이터베이스를 추출하여 저에게 보내주었습니다."
노아와 그의 공범들은 트윌리오의 기업용 접근 코드를 이용하여 더 많은 회사에 침투할 수 있었습니다. 결국 그들은 트윌리오를 사용하는 209개 회사의 고객 데이터(SMS 인증 코드 포함)에 접근할 수 있었습니다. 노아는 "마치 신이 된 기분이었습니다."라고 말합니다.
며칠 후, Twilio 고객 지원 사이버 보안 회사인 Group-IB는 자사 블로그에 데이터 유출 사실을 알리고 해커를 0ktapus라고 명명했습니다. 노아는 겁에 질려 3,000달러짜리 컴퓨터와 휴대폰을 버리고 새 장비로 교체했습니다. 얼마 지나지 않아 0ktapus 회원 한 명이 다른 SIM 교환자에게 데이터를 공유했고, 그 교환자는 이를 널리 유포했습니다. 점점 더 많은 "Com" 회원들이 데이터베이스에서 이름을 삭제하면서, 데이터는 암시장에서 가치를 잃었습니다.
노아의 조직원들은 한동안 잠복했지만, 경찰이 오지 않자 더욱 대담해졌습니다. 그룹-IB에 따르면, 0ktapus는 2022년 내내 수천 명의 직원 신원 정보를 훔쳤습니다. 회사 계정에 성공적으로 접근한 후에는 더 높은 권한을 가진 직원을 식별하고 표적으로 삼았습니다. 그해 12월, 윙클보스 쌍둥이가 소유한 암호화폐 거래소 인 제미니 트러스트(Gemini Trust Co.)의 고객 570만 명의 개인 정보를 훔쳐 범죄 포럼에 판매했습니다.
노아는 18살이 되자 아버지 집에서 나와 플로리다 팜 코스트의 조용한 동네에 있는 장기 에어비앤비로 이사했습니다. 그는 침대, 테이블, 소파, TV, 그리고 오레오 쿠키를 닮은 털을 가진 다이애나라는 이름의 고양이를 집에 들여놓았습니다. "제가 원했던 건 오로지 재정적 자유, 친구들과 어울리고 하루 종일 음악을 듣는 것이었습니다."라고 그는 말했습니다.
일주일에 한 번, 그는 자신의 닷지 챌린저를 몰고 스트립몰에 가서 올리브 가든과 철판구이 식당 중 하나를 골라 100달러에서 200달러 정도의 현금 팁을 남깁니다. 그는 또한 밤에 고속도로를 질주하며 릴 우지 버트, 플레이보이 카티, 켄 카슨의 음악을 듣는 것을 즐깁니다.
Leakth.is라는 포럼에서 활동하던 노아는 좋아하는 아티스트의 "희귀한"(미공개 트랙) 음악을 게시하는 곳에서 Universal Music Group NV와 Warner Music Group Corp.의 직원을 표적으로 삼아 사운드 엔지니어와 프로듀서의 Dropbox나 iCloud 계정에 접근하여 파일 속에 미공개 음악이 있을 것이라고 의심되는 사람들의 계정에 접근하기로 결정했습니다.
2022년, 노아는 '킹 밥'이라는 트위터 계정을 통해 플레이보이 카티의 미발표곡 "Money N Drugs"의 일부라고 주장하는 희귀 영상을 게시했습니다. 이 이름은 영화 '슈퍼배드'의 미니언즈에서 따온 것이었습니다. 그의 계정 팔로워는 하룻밤 사이에 1만 1천 명으로 급증했습니다. 킹 밥의 정체에 대한 추측이 온라인에 퍼졌고, 팬들은 그가 음악 스튜디오 프로모터이거나 변절한 프로덕션 어시스턴트일 것이라고 추측했습니다. (음반사는 논평을 거부했고, 플레이보이 카티의 매니저는 논평 요청에 응답하지 않았습니다.)
노아는 킹 밥이라는 가명을 사용하여 음악을 훔치는 사람이 자신뿐이 아니라고 주장하며, 희귀 아이템을 배포하는 것은 절도가 아니라 홍보라고 주장합니다. 그러나 그가 공격했던 사람들은 다르게 생각합니다. 카니예 웨스트, A$AP Rocky, Playboi Carti와 함께 작업한 프로듀서 나시르 펨버튼은 노아가 자신의 곡 수백 곡을 훔쳤다고 비난하며 디스코드에 자신의 드롭박스 스크린샷을 공유했습니다. 펨버튼은 "그는 제 인생을 거의 망칠 뻔했습니다."라고 말했습니다.
"모든 것은 커뮤니티 에서의 지위에 관한 것입니다. 그저 자랑거리일 뿐입니다."
0ktapus는 "Com" 내에서 주목을 받은 유일한 집단이 아니었습니다. 노아의 집단과 연합하여 "흩어진 거미(Scattered Spider)"라는 별명을 얻은 또 다른 집단 또한 SIM 교환을 넘어서고자 했습니다. 이 집단에는 이전에 엔비디아(Nvidia Corp.)와 우버 테크놀로지스(Uber Technologies Inc.)를 공격했던 랩서스달러(Lapsus$)의 전 구성원들이 포함되어 있었습니다. 잭(Jack)이라는 해커 집단 구성원은 랜섬웨어 공급업체와 연줄이 있고 고급 보안 도구를 우회하는 소프트웨어를 개발했다고 자랑했습니다. (또 다른 구성원인 탈하 주바이르(Thalha Jubair, 검찰에 따르면 코드명 어스투스타(EarthtoStar))는 이번 달 영국에서 체포되었습니다. 미국 검찰은 9월 18일, 현재 19세인 주바이르가 47개 미국 기업을 상대로 총 1억 1,500만 달러를 갈취하는 데 도움을 주었다는 혐의를 담은 기소장을 공개했습니다. 그의 영국 변호사는 이에 대한 언급을 거부했습니다.)
노아는 그들과 함께 일하는 것이 멋질 거라고 생각했습니다. 그는 잭과 소통하기 시작했는데, 잭은 트윌리오 해킹 사건에 깊은 인상을 받았지만, 노아와 친구들의 기업에 침입하여 데이터를 훔치려는 전략은 폄하했습니다. 잭은 해킹당한 기업을 갈취하는 것이 훨씬 더 빨리 돈을 벌 수 있을 것이라고 생각했습니다.
노아는 암호화폐 거래소 크립토닷컴(Crypto.com) 직원의 계정에 접근하기 위해 두 사람이 협력했다고 밝혔습니다. 또한, 유나이티드 파슬 서비스(UPS) 시스템을 악용하여 잠재적 피해자들의 개인 정보를 수집했습니다. (크립토닷컴 대변인은 이전에 보고되지 않은 자사 플랫폼에 대한 공격이 "극소수"에게만 영향을 미쳤으며 고객 자금은 유출되지 않았다고 밝혔습니다. UPS는 2023년에 이 문제를 해결했다고 밝혔지만, 본 기사에서는 더 자세한 내용을 밝히지 않았습니다.)
이 조직은 더 많은 데이터를 확보하고자 했습니다. 노아는 온라인 수업 중 휴식 시간에 ChatGPT를 사용하여 어떤 조직이 암호화폐를 훔치는 데 필요한 개인 정보에 접근했는지, 그리고 어떤 유형의 직원이 해당 정보를 보유하고 있는지 조사했다고 말했습니다. 2023년 1월, 이들은 비디오 게임 회사인 라이엇 게임즈(Riot Games Inc.)를 해킹하여 이슈 게임 리그 오브 레전드(League of Legends)의 소스 코드와 일부 부정행위 방지 도구를 훔쳤습니다. 이들은 데이터 반환 대가로 1천만 달러를 요구했는데, 이는 이 조직의 첫 번째 몸값 요구였습니다. 라이엇 게임즈는 지불을 거부했습니다.
노아는 자신이 강탈 시도에 가담한 것은 아니지만, 이전에 전화 사기 수법을 통해 회사에 접근한 적이 있다고 말했습니다. 그는 도난 당시 라이엇 게임즈 개인 계정을 업데이트했는데, 수사관들은 이를 주요 단서로 간주했습니다. 검찰에 따르면, 며칠 후 그가 공격을 인정하는 듯한 메시지를 보냈다고 합니다.
2023년 3월 1일 아침, 모든 것이 꼬이기 시작했습니다. 노아가 고양이를 데리고 동물병원에서 집으로 돌아오던 중, 20명이 넘는 FBI 요원과 경찰관들이 그의 차를 포위하고 문을 열라고 요구했습니다. 노아는 다이애나가 도망칠까 봐 망설였고, 처음에는 무언가를 숨기고 있다고 의심했습니다. 그가 이유를 설명하자 경찰관들은 고양이를 집 안으로 데려오도록 허락했습니다.
노아는 소파에 앉아 수색 영장을 읽고 있었고, 요원들은 그의 아파트를 수색하며 컴퓨터와 아이폰을 압수했다. 그는 비밀번호를 알려주기를 거부했다. 아버지에게 전화하고 싶다고 하자 FBI 요원이 동의하며 노아의 휴대폰을 얼굴에 대고 잠금을 해제하려 했다. "잘했어." 노아는 몸을 숙이며 생각했다.
검찰에 따르면 연방 요원들은 총 400만 달러 상당의 암호화폐, 10만 달러 상당의 현금, 그리고 롤렉스를 비롯한 시계 5개를 포함한 10만 달러 상당의 보석을 압수했습니다. 또한 현금 계산기와 노아의 소니 플레이스테이션 5도 압수했습니다. 노아는 16달러와 여권만 가지고 떠났다고 진술했습니다.
"다른 모든 아버지들처럼 저도 마음이 아프지만, 저는 항상 그를 사랑할 것이고 죽을 때까지 절대 그를 포기하지 않을 것입니다."
노아는 그날 체포되지 않았지만, FBI 요원들은 라이엇 게임즈 해킹과 여러 건의 암호화폐 절도 혐의로 그를 기소했습니다. "그들은 저를 앉혀 놓고 '당신이 소셜 엔지니어라는 걸 알고 있어요.'라고 말했어요." 노아는 회상했습니다. "'당신이 스캐터드 스파이더의 일원이라는 걸 알고 있어요.'"
FBI는 노아가 2021년 오리건주 포틀랜드에서 발생한 SIM 카드 스와핑 사건의 저급 행위자로 태그 된 이후부터 그를 추적해 온 것으로 드러났습니다. 이 사건을 담당했던 포틀랜드 지부 담당 특수요원 더글러스 올슨은 노아가 기술적으로는 부족했음에도 불구하고 "당시 우리가 아는 최고의 SIM 카드 스와핑범 중 한 명이었다"고 말했습니다. "그는 직원들을 속여 피해자의 전화번호를 스와핑하게 하고 범죄를 저지르기 위한 개인 정보를 얻는 데 매우 능숙했습니다."
노아는 아버지와 다시 함께 살게 되었는데, 아버지는 아들의 범죄 혐의 규모를 알고 충격을 받았다고 말했습니다. 같은 달, 그들은 변호사와 함께 오리건으로 갔는데, 그곳에서 FBI 요원들이 노아의 파트너 중 한 명인 잰키를 추적하고 있었습니다. 법원 문서에 따르면, 노아는 그곳에서 검찰에 2020년 말부터 2023년 초까지 최대 1,500만 달러를 횡령했다고 시인했습니다. 그는 다시는 암호화폐에 손을 대거나 해킹에 가담하지 않겠다고 약속했습니다.
노아가 인터뷰에서 한 발언에도 불구하고, FBI의 올슨은 그가 "전혀 양심의 가책을 느끼지 않는다"고 생각합니다. 올슨은 노아의 사회생활이 사이버 범죄에만 집중되어 있었고, 이로 인해 피해자들에게 무감각해졌다고 말했습니다. 실제로 노아는 수사관들에게 상금의 대부분을 거의 즉시 암호화폐 도박 및 게임 웹사이트에 썼다고 진술했습니다. 올슨은 "커뮤니티 내 지위가 전부입니다."라고 말하며, "그저 자랑거리일 뿐입니다."라고 덧붙였습니다.
익명을 요구한 수사에 참여한 FBI 요원에 따르면, 노아는 자택 압수수색 후에도 소셜 엔지니어링 및 음악 절도 행위를 계속했습니다. 사이버범죄 연구원들은 스캐터드 스파이더가 압수수색 이후 한동안 잠잠했던 것으로 보인다고 밝혔습니다. 그해 9월, 이 조직은 시저스 엔터테인먼트(Caesars Entertainment Inc.)를 해킹하여 1,500만 달러를 갈취한 혐의를 받고 있습니다. 시저스는 이 문제에 정통한 소식통에 따르면 논평 요청에 응답하지 않았습니다.
며칠 후, MGM 리조트는 해커들이 시스템에 침입하여 직원들의 Okta 비밀번호를 도용했다는 사실을 발견했습니다. MGM은 컴퓨터 시스템을 폐쇄했습니다. 라스베이거스 카지노에서는 슬롯머신이 작동하지 않았습니다. 당시 연방거래위원회(FTC) 위원장이었던 리나 칸을 포함한 투숙객들은 객실에 갇혔습니다. 회사는 몸값을 지불하지 않았지만, 공격으로 인한 피해액은 1억 달러에 달할 것으로 추산했습니다.
이 사건은 매우 우려스럽습니다. 주로 러시아어 사용 단체가 주로 사용하는 랜섬웨어가 이제 국내 해커들에 의해 악용되고 있다는 증거가 발견되었습니다.
사이버 보안 회사인 크라우드스트라이크 홀딩스(CrowdStrike Holdings Inc.)와 맨디언트(Mandiant)는 스캐터드 스파이더(Scattered Spider)가 수개월 동안 자사 고객을 적극적으로 공격해 왔다고 밝혔습니다. 두 회사는 스캐터드 스파이더와 고객 서비스 직원 간의 대화 녹음 파일을 해당 사이버 보안 회사에 공유했는데, 연구원들은 익숙한 억양에 놀랐습니다. 암호화폐 거래소 코인베이스 글로벌(Coinbase Global Inc.)의 최고정보보안책임자(CISO)인 제프 룽글호퍼(Jeff Lunglhofer)는 2023년 당시 이들을 "젊고 언변이 뛰어난 남성들"로 묘사하며, "재치 있고 재치 있는" 사람이라고 평했습니다.
MGM 공격 한 달 후, 마이크로소프트는 블로그 게시물을 통해 스캐터드 스파이더의 랜섬 노트가 점점 더 공격적으로 변하고 있다고 설명했습니다. 마이크로소프트는 스캐터드 스파이더의 구성원들이 집 주소와 성을 이용하고 신체적 위협까지 가하며 사람들에게 비밀번호나 코드를 공유하도록 압력을 가했다고 밝혔습니다. 같은 해 11월, 미국 국토안보부는 스캐터드 스파이더가 러시아어를 구사하는 랜섬웨어 그룹 알프브이(AlphV)와 협력하고 있다고 경고했습니다. 알프브이의 구성원들은 몸값 일부를 받기 위해 기성 멀웨어를 제공했습니다.
노아는 카지노 공격이나 랜섬웨어 유포에 연루되었다는 혐의를 부인했고, 이러한 범죄 혐의로 기소하다 되지도 않았습니다. 그러나 정부는 그가 완전히 변질되지 않았다고 의심했습니다. 검찰은 이후 2023년 8월, 노아가 암호화폐 거래에 관여하지 않겠다고 약속했음에도 불구하고 FBI가 추적 중인 지갑에서 1만 달러 상당의 비트코인을 클레임 주장했습니다. 검찰은 노아가 친구들에게 보낸 디스코드 메시지를 발견했습니다. 메시지 중 하나는 "오늘 연방 검사와 통화했습니다. 제가 곧 기소하다 되지 않으면 이 소송에서 이길 가능성이 높다고 했습니다. 제가 핵무기를 사용하지 않았다면 상황이 얼마나 심각했을지 상상도 할 수 없을 겁니다."였습니다.
FBI가 노아의 계좌를 분석한 결과, 그는 2022년 중반 암호화폐 거래소 와 온라인 도박 서비스를 통해 약 7,600만 달러를 횡령한 것으로 드러났습니다. 노아는 이 수치가 완전히 정확한 것은 아니지만 "거의 정확하다"고 말했습니다.
법 집행 기관이 노아에게 접근하면서, 그의 동료 중 일부는 다른 종류의 문제에 직면했습니다. 2023년 3월, 얀키는 전신 사기 공모 혐의에 유죄를 인정했습니다. 그는 보석금을 내고 풀려난 후에도 해킹 활동을 계속했습니다. 그해 11월, 포틀랜드 아파트로 돌아가던 중 세 명의 남자가 그를 밴으로 끌고 갔습니다. 그들은 그의 손을 등 뒤로 묶고 머리에 후드를 씌웠습니다. 납치범들은 얀키에게 암호화폐가 어디에 있는지 묻기 위해 후드를 여러 번 벗겼고, 그가 대답하지 않자 다시 그의 목에 후드를 조였습니다. 그들은 연방 요원들이 이미 그에게서 400만 달러 상당의 암호화폐를 압수했다는 사실을 알지 못했습니다.
"젠장." 잰키는 캘리포니아주 롬폭 연방 교도소 접견실의 아이만 한 의자에 앉아 납치당했던 일을 떠올리며 회상했다. "죽을 수도 있었죠."
다음 날 아침, 조깅하던 한 사람이 교차로에서 기둥에 묶여 온몸이 멍투성이인 얀케를 발견했습니다. 중환자실에서 나온 지 한 달 후, 얀케는 다시 체포되어 6년 형을 선고받았습니다. 그는 지금 감옥에 있는 것이 오히려 다행이라고 말했습니다. 퓨처라마의 벤더 캐릭터가 새겨진 케이블 타이 자국이 손목에 아직도 생생하게 남아 있습니다. 그는 가족들은 괴롭힘 없이 삶을 재건할 수 있게 되었고, 자신도 더 이상 해킹에 대한 유혹을 느끼지 않는다고 말했습니다. "우리가 저지른 일은 정말 나쁜 짓이었습니다."라고 그는 말했습니다.
2024년 10월, 얀케 납치 사건과 관련하여 네 명의 남성이 체포되었습니다. 이들은 모두 무죄를 주장했으며 재판을 기다리고 있습니다. 검찰은 영상에서 노아에게 도움을 요청했던 소년 저스틴을 납치한 혐의가 다른 두 남성에게 있다고 주장합니다. 두 남성은 절도 및 암호화폐 절도 혐의로 유죄 판결을 받았습니다. 저스틴은 탈출에 성공했고, 집에서 190km(120마일) 떨어진 플로리다 고속도로에서 주 경찰관에 의해 발견되었습니다. 저스틴은 취재진과 연락이 닿지 않았습니다.
노아는 경찰이 팜 코스트에 있는 그의 집을 급습한 지 9개월 만인 2024년 1월에 체포되었습니다. 그는 보석금 없이 구금되었습니다. 이후 캘리포니아 검찰은 그와 다른 네 명을 AT&T, T-모바일, 버라이즌 커뮤니케이션즈, 트윌리오, 라이엇 게임즈 등 13개 회사를 해킹한 혐의로 기소했습니다. 기소된 사람 중에는 그의 스코틀랜드 출신 게임 친구 타일러 뷰캐넌도 있었는데, 그는 2024년 6월 스페인에서 체포되어 미국으로 송환되었습니다. 그는 혐의에 대해 무죄를 주장했습니다. 뷰캐넌과 그의 변호사는 논평 요청에 응답하지 않았습니다. AT&T, T-모바일, 버라이즌, 트윌리오, 라이엇 게임즈 또한 논평을 거부했습니다.
노아는 음악 절도 혐의로 기소되지 않았지만, 킹 밥이 기소하다 에 이름이 올랐고, 그가 구금되는 모습이 담긴 사진들은 온라인에서 빠르게 밈으로 떠올랐습니다. 온라인에서는 플레이보이 카티 팬들이 FBI에 노아의 도난당한 음악 컬렉션을 공개할 것을 요구했습니다. 한 레딧 사용자는 노아의 부모를 범죄의 배후로 지목했고, 이에 노아의 아버지는 웹사이트에 글을 올렸습니다. 어반은 "때로는 사람들은 자신이 배운 것과는 다른 선택을 합니다."라고 썼습니다. "모든 아버지처럼 저도 마음이 아프지만, 저는 항상 아버지를 사랑할 것이고 죽을 때까지 포기하지 않을 것입니다."
플로리다 중부 지방 검사인 그레고리 키호는 노아와 같은 사람들이 범죄를 끊는 데 어려움을 겪을 것이라고 예측합니다. "이것은 단순한 중독이 아니라 그들의 생활 방식입니다."라고 그는 말합니다. "소셜 네트워크 전체가 여러 플랫폼에서 이루어지는 온라인 소통을 중심으로 이루어진다면, 설령 좌절을 겪더라도 다시 그 생활 방식으로 돌아갈 가능성은 얼마나 될까요?"
노아는 온라인 생활을 포기할 준비가 되지 않았다는 징후를 보였습니다. 그는 밀수된 휴대전화를 사용했다는 이유로 두 번이나 독방에 갇혔습니다. 2024년 8월, 그는 자신의 트위터 계정 X에 "지루해."라는 글을 올렸습니다. 그의 사건을 담당했던 판사가 해킹당했고, 검찰은 노아의 측근 중 한 명을 공격 혐의로 기소했습니다.
"AT&T와 T-Mobile 같은 Fortune 500 기업들은 10대 무리에게 쉽게 속았습니다."
체포된 지 몇 주 후, 노아는 인터뷰 요청에 응해 교도소에서 비즈니스위크 기자에게 전화를 걸었습니다. 그 후 1년 동안 그는 플로리다주 스타크 교도소에서 거의 매주 전화를 걸어 자신의 경험을 이야기했습니다. 그는 예의 바르고 차분했으며, 무장 해제시키는 유머 감각을 지녔습니다. 그는 처음에는 대부분의 수감자들이 이 백인 소년이 성범죄를 가리키는 일반적인 용어인 "컴퓨터 관련 혐의"로 수감된 것에 회의적이었다는 점을 언급했습니다. 하지만 그의 구금 사진이 MGM 해킹 사건을 다룬 60분 프로그램에 등장하자 그들의 생각이 바뀌기 시작했습니다.
2024년 4월, 노아는 전신 사기와 가중 신분 도용 혐의에 대해 유죄를 인정했습니다. 7월 화상 통화에서 그는 선고를 받기 몇 주 전, 19개월 동안 살았던 30인용 기숙사의 침대 아래쪽에 웅크리고 있었습니다. 이전 통화에서는 수감자들의 존경을 얻고 수백만 달러 대신 라면으로 도박을 하는 것에 대해 이야기하며 자신감 넘치는 모습을 보였습니다. 하지만 이번에는 머리를 뒤로 넘겨 이마를 가리고 있어 어리고 어색해 보였습니다. 그는 한때 좋아했던 여자아이에 대해 이야기했는데, 그 아이와 함께 학교에서 배구를 했다고 합니다.
영국에서 "스캐터드 스파이더" 용의자 네 명이 체포되었다는 소식을 들었을 때, 그의 눈은 거의 움직이지 않았다. 젊은이들이 계속해서 서로를 꾀는 한, 이 범죄는 계속될 거라고 노아는 말했다. "이런 일이 끝나기를 바라지만, 그럴 일은 없을 것 같아요."
2024년 8월 20일, 노아는 잭슨빌 연방 법원에 선고 공판을 위해 출두했습니다. 그는 등에 "PRISONER"라는 글자가 새겨진 남색 죄수복을 입고 있었습니다. 전날 밤 전화 통화에서 그는 "긴장되고 설레는" 심정으로 8년 이하의 징역형을 예상하며, 변호사의 5년 형량 요청에 낙관적이라고 말했습니다.
그의 변호사인 캐서린 셸던은 법정에서 노아가 나이 든 공모자들의 권유를 받아 게임이라고 생각했던 일에 끌려들었다고 진술했습니다. "코인베이스나 다른 어떤 기관의 잘못을 덮어씌우려는 게 아닙니다."라고 그녀는 말했습니다. "하지만 AT&T나 T-모바일 같은 포춘 500대 기업들은 십 대들에게 너무나 쉽게 속아 넘어갔습니다."
노아는 피해자들과 그 가족들에게 사과하며, 자신이 저지른 착취에 대한 인식을 널리 알리겠다고 약속했습니다. "출소할 수 있는 기회가 생기면, 저는 제 자신을 더 발전시키는 데 집중하고 싶습니다."라고 그는 말했습니다.
하지만 그는 바라던 용서를 받지 못했습니다. 1991년부터 판사로 재직해 온 85세의 전 검사이자 미국 연방 지방법원 하비 슐레진저 판사는 노아의 피해자 여러 명의 진술을 낭독했습니다. 그중에는 체외수정(IVF) 치료비를 위해 암호화폐 보유액에 의존했던 전직 소방관과 돈을 잃고 택배 배달원으로 일해야 했던 은퇴자도 있었습니다. 자녀들을 위해 마련해 둔 수십만 달러의 암호화폐 보유액을 노아에게 도난당한 미니애폴리스의 한 사업주는 선고 공판에서 방청석에 앉아 있었습니다.
판사는 노아에게 10년형을 선고했는데, 이는 검찰이 요청한 것보다 더 긴 형량이었습니다. 판사는 노아의 범죄 대부분이 청소년 시절에 저질러졌지만, 그가 "대부분의 사람들보다 훨씬 더 똑똑했다"고 말했습니다. 더 긴 형량이 오히려 범죄 억제책이 되기를 바랐습니다. 판사가 그에게 빚진 피해자들의 긴 명단을 낭독하고 1,340만 달러의 배상금을 지불하라고 명령하는 동안 노아는 거의 움직이지 않았습니다.
다음 날 밤, 노아가 감옥에서 전화를 걸어왔다. 그는 가족과 피해자들에게 상처를 준 것을 후회하지만, 맺었던 우정에 대해서는 희망을 품고 있는 듯했다. "제가 한 일이 좋았다고는 말 못 해요. 끔찍한 커뮤니티 였고, 제가 한 일은 나빴어요." 노아가 말했다. "하지만 저는 제 삶을 사랑해요. 제 자신을 사랑하고, 제가 살아온 방식을 그대로 살 수 있어서 기뻐요."
