미국 내 사이버보안 전문가들이 자신이 방어해야 할 시스템을 공격한 사실로 인해 큰 충격을 주고 있다. 라이언 클리포드 골드버그와 케빈 타일러 마틴, 두 전직 사이버보안 전문가가 유명한 랜섬웨어 ‘블랙캣(BlackCat)’ 또는 ‘ALPHV’를 이용하여 대규모 협박 범죄를 저지른 것으로 드러났다.
미국 법무부는 이들이 플로리다 남부 연방 지방법원에서 상업 방해를 목표로 한 협박 음모 혐의에 대해 유죄를 인정했다고 밝혔다. 이들은 2023년 4월부터 12월까지 다양한 미국 기업들을 대상으로 여러 차례 랜섬웨어 공격을 감행해 왔다.
골드버그는 저명한 사이버보안 회사인 시그니아(Sygnia)에서 침해 대응 매니저로 활동했으며, 마틴은 디지털민트(DigitalMint)에서 랜섬웨어 피해 협상 전문가로 근무한 경력이 있다. 이들의 본래 임무는 기업들이 해킹 공격으로부터 보호받도록 지원하고 공격 피해를 최소화하는 것이었다. 그러나 두 사람은 전문 지식을 범죄적인 목적으로 변형하여 스스로의 능력을 악용하기로 결심했다.
검찰에 따르면, 이들은 의료 기기 제조사를 포함한 여러 기업을 대상으로 랜섬웨어를 퍼뜨려 시스템을 암호화한 후 복호화 키를 대가로 막대한 비트코인을 요구했다. 한 사건에서는 약 120만 달러, 우리돈으로 약 17억 3천만 원이 갈취된 것으로 보고되며, 일부 공격에서는 건당 1,000만 달러, 즉 약 144억 원의 몸값을 요구하기도 했다.
이 사건이 사회에서 큰 논란을 일으킨 이유는 가해자들이 능력 있는 사이버보안 업계 내 인사들이라는 점이다. 이 같은 배신은 전문성과 신뢰를 기반으로 형성된 보안 신뢰체계에 심각한 타격을 줄 수 있다는 우려가 제기된다. 이와 관련해 A. 타이슨 두바 미 법무부 범죄국 부차관보는 “이번 사건은 고도의 사이버보안 지식이 어떻게 범죄에 활용될 수 있는지를 보여주는 전형적인 사례”라고 강조하며, “미국 법무부는 인터넷 기반의 협박 범죄에 대해 더욱 강경히 대응할 것”이라고 경고했다.
골드버그와 마틴은 2026년 3월 12일 최종 선고를 앞두고 있으며, 미국 연방법적으로 최대 20년의 징역형에 처해질 수 있다. 이로 인해 사이버보안 전문가들의 윤리적 책임과 업계 내부의 검증 체계 필요성에 대한 논의가 다시금 수면 위로 떠오르고 있다. 이러한 사건은 향후 사이버보안 분야의 신뢰성에 중대한 영향을 미칠 것으로 예상된다.
