[박춘식 교수의 보안이야기] 최근의 사이버 범죄조직은 상급 간부, 중간 관리직, 스탭으로 구성되어 당당한 “기업”이라고 말해도 과언이 아니다. 위법 행위를 수행해서 금전을 효율 좋게 쌓기(저축) 위해서 다양한 서비스 제공자를 이용하고 있다. 이러한 충격적인 실태가 시큐리티 밴더 조사에서 밝혀졌다.
 
◇지하경제 커뮤니티에서 리쿠르팅
시큐리티 벤더인 미국 포티넷이 공개한 최신 보고서 「2013 Cybercrime Report」에 의하면 합법적인 기업과 아주 유사한 사이버 범죄 기업을 지탱하고 있는 것은 지하경제(Underground Economy)의 채팅 룸, 웹 포털, 마켓 프레이즈라고 한다. 이러한 커뮤니티는 비밀리에 운영되고 있어 인원을 보면서 채용하거나, 맬웨어나 Exploit Code, 봇넷 구축 툴을 구입·공개하는 활동이 왕성하다.
 
또한 요금에 대한 대가로 나쁜 짓에 눈을 감거나 사이버 범죄 기업에 도움을 주는 기술 컨설턴트나 호스팅 제공자도 적지 않다고 한다. Fortinet에서는 “봇넷을 구축, 전개, 운용하기 위한 리소스가 모두 제공되고 있기 때문에 기술적으로 상세하지 않아도, 누구라도 빠르게 저축하는 것이 가능하게 되어 있다.
 
이 때문에 맬웨어가 폭발적으로 증가하고 있어 월간량은 4년 전의 3배에 달하고 있다”고 경종을 울리고 있다. 이러한 사이버 범죄 기업의 조직체제는 합법적인 기업과 아주 닮아 있다. 상급 간부가 의사 결정을 하며, 운영을 총괄하여 모든 것을 원활하게 추진하는 것에 책임을 갖고 있다. “운영을 궤도에 올리면, 상급 간부는 비즈니스 개발에 중심을 옮기며 작업을 스탭에게 맡기면서 공격의 실행에는 관여하지 않는다”고 밝히고 있다.
 
스탭은 통상, 중간 관리직의 감독하에 놓인다. 중간 관리직은 친구 사이의 네트워크가 지하경제의 포럼을 통해서 채용된다. 중간 관리직은 리쿠르트와 협력하여 머신을 맬웨어에 감염시키기 위한 요원의 채용에 해당하는 경우가 많다. 맬웨어에 감염시키는 수단으로는 전자 메일의 링크, 불법 PDF, 변조된 웹 사이트, 소셜 네트워킹의 게재 링크 등, 다양한 것이 사용되고 있다.
 
스탭을 채용하는 목적으로 인터넷의 구인 게시판, 해킹 메시지 포럼, 지하경제IRC 채팅방 등에 광고가 나오게 된다. 초대제의 스탭 지원 포털도 있어 이들은 일반적으로 러시아에 서버가 놓여있다고 한다. 이러한 포털은 신참 스탭이 필요로 하는 툴을 모두 제공한다. 그 중에는 맬웨어나, 지원 포럼의 URL, 보수의 상장에 관한 정보, 일정한 수의 감염을 성공시킨 후에 보수를 받는 방법 등이 포함된다.
 
◇사이버 범죄조직 운영을 돕는 다양한 서비스들
범죄 조직이 운용하는 봇넷은 다양한 기능을 제공한다. 예를 들면, 맬웨어를 다운로드 배포하거나 온라인 은행계좌나 소셜 네트워킹 사이트의 인증 자격 정보나 데이터를 훔치기 위해 사용되고 있다. 또한 빼앗은 시스템을 사용해서, 불법 프래픽의 프록시나, 데이터의 격납, 랜섬웨어 공격용의 중요 데이터의 암호화, 클릭 사기 등이 행하여지고 있다.
 
이러한 사이버 범죄 기업을 도와주는 다양한 서비스 제공자도 나타나고 있다. 제공 서비스의 하나로써 고성능의 패스워드 크래킹이 있다. 시행 회수 3억회 마다 17달러의 요금이 설정되고 있어 3억회의 시행에는 약 20분이 소요되고 있다.
 
이 서비스는 온라인 서비스의 패스워드를 크래킹하는 데에 사용되는 일이 많다. 또한, 커스텀 코드나 가짜 바이러스 대책 소프트웨어, 랜섬웨어, 전개 시스템, Exploit Code를 제작하는 연구개발기관도 있다. 이들의 기술은 구입, Lease, Rental하는 것이 가능하다.
 
사이버 범죄자는 Exploit Code나 맬웨어, 훔친 데이터를 보존하는 장소가 필요하기 때문에 사이버 범죄자의 성공에 있어서는 호스팅 제공자가 중요하다. 서버에 무엇이 보존되어 있는 가를 문제로 하지 않는 제공자는 러시아나 중국에서 발견되는 일이 많다.
 
Fortinet은 봇넷 운영자 사이에서는 경쟁이 심하기 때문에 매수나 합병이 일어나고 있는 것도 지적하고 있다. 합병의 가까운 예는 맬웨어의 「Zeus」나 「SpyEye」를 사용하고 있는 봇넷 사이에서 행하여 진 것이라고 한다.
 
◇민관협동 봇넷 해체 주력해야
사이버 범죄자는 거금을 쌓아두는 것부터, 돈 세탁 방법을 필요로 하고 있다. Fortinet은 “사이버 범죄자는 Money Mule(송금에 가담하는 운반책)을 고용하여, 어떤 나라나 은행계좌로부터 다른 나라나 은행계좌에로, Western Union、Liberty Reserve、U Kash、WebMoney 등의 익명 송금 서비스를 사용해서 자금을 이동시키고 있다.”고 설명하고 있다.
 
돈 세탁 대책법을 빠져나가기 위해 송금은 일반적으로 소액으로 행하여지고 있다고 한다. 모든 비즈니스 오너와 같이 사이버 범죄자도 중요 지표를 추적할 필요가 있다. 범죄 기업의 경우, 중요 지표에는 감염 기계 대수, 크래킹 된 계좌 수, 그들의 계좌로부터 빼낸 금액 등이 있다. 소프트웨어 개발부터 지불계정까지 다양한 항목을 추적하기 위해, 사이버 범죄자는 상용의 비즈니스 프로세스 관리 소프트웨어, 재무 시스템, 데이터베이스, 웹 포털을 이용하고 있다.
 
Fortinet은 이러한 상황을 고려하여, 나라나 법 집행기관이 대규모 봇넷의 해체에 머무르지 않고, 사이버 범죄 대책을 넓게 전개하는 것을 권고하고 있다.
 
대규모 봇넷의 해체는 IT 기업이 최근, 재판소와 함께 중점적으로 추진하고 있는 방법이다. Fortinet은 사이버 범죄자가 위법 행위를 행하면서 기본적인 요소(예를 들면, 도메인 등록 등)를 글로벌하게 협력하여 관리할 필요성을 최신 보고서가 실증하고 있다고 생각하고 있다.
 
이 기업 제품 담당 부회장인 Patrick Bedwell은 “이 보고서는 글로벌한 위협을 차단하는 데에는 지역마다의 개별의 방법만으로는 불충분할 가능성이 높다는 것을 부각시키고 있다”고 지적하고 있다.
 
봇넷의 해체는 사이버 범죄의 최종적인 해결책이 되지 못하지만, 사이버 범죄자를 억제시키거나 수익에 타격을 주는 것은 확실하다. 예를 들면, 마이크로소프트는 이러한 방법에 특히 적극적으로 9월에는, 2008년부터 맬웨어를 확산시켰던 Nitol봇넷의 확대를 크게 막아내고 있다. (ComputerWorld.2012.12.26)
 
[글. 박춘식 서울여자대학교 정보보호학과 교수]