해킹툴, 좀비PC네트워크(봇넷), 보안취약점 등을 사고 파는 블랙마켓이 마약 거래 시장보다 잠재적으로 높은 수익성을 낼 수 있다는 분석이 나왔다.
고객에 따라 맞춤형 제품 및 서비스를 공급하는 것은 물론 외부 위협으로 시장이 타격을 입어도 금새 다른 블랙마켓이 형성되는 등 회복력도 좋다는 평가다.
비영리 조직인 란드 내 국가보안연구부서는 최근 '사이버범죄툴과 유출된 데이터 거래 시장'이라는 보고서를 통해 해커들을 위한 블랙마켓의 '현재'를 조망했다.
해커들의 블랙마켓은 점점 규모가 커지고 복잡해져가고 있다. 마약과는 달리 중간 거래상 없이 인터넷 상에서 실제 구매자들과 직접 거래가 이뤄지기 때문에 잠재적으로 더 높은 수익을 보장한다.
해킹툴 등은 디지털 상품이기 때문에 마약과 같은 실물 상품보다 거래 과정에서 위험성이 낮고 유통마진이 없다는 점이 특징이다.
거래를 위해서는 일부 나라가 아니라 복잡한 경유지를 거치기 때문에 사법당국이 추적하지 못하도록 한다. 미국 뉴저지에서부터 나이지리아, 중국, 동남아시아까지 광범위하게 네트워크가 형성돼 있다고 한다.
보안취약점을 악용한 해킹툴(익스플로잇) 제조사가 블랙마켓에서 판매하는 제품들은 이용약관, 공격 대상 추적, 기능 강화 등을 갖고 있다. 일반적인 시장과 마찬가지로 제품이 거래되고 있는 것이다.
심지어 제조사들은 자신들이 만든 해킹툴의 사용기간에 대해서도 설정할 수 있도록 한다. 예를 들어 특정 악성코드 변종은 백신에 탐지되기까지 10시간 동안 유효하다. 개인정보를 탈취해 만든 신용카드는 특정 금액만큼 피해자 계좌에서 돈을 빼낼 수 있다.
구매자가 이용약관을 따르고 있는지를 보기 위해 디지털 저작권 관리(DRM) 기능을 활용하기까지 한다. 만약 어떤 구매자가 자사 해킹툴로 정해진 규모 이상 좀비PC를 만들어낸다면 해당 툴의 기능을 정지시켜버리기도 한다.
지정학적으로 봤을 때 베트남 해커그룹은 주로 전자상거래 관련 해킹툴을 연구한다. 러시아, 루마니아, 리투아니아, 우크라이나 등 동유럽계는 금융정보 탈취용 툴을 제작한다. 중국 해커그룹은 IP에 집중하는 것으로 알려졌다.
란드는 지난해 10월~12월 사이 20명 이상 보안전문가, 대학연구자, 정부관계자 등을 광범위하게 인터뷰한 결과 블랙마켓은 사용자 요구를 반영하는 정교함, 고객들에게 최적화된 제품을 만들어 낼 수 있는 전문성, 관련된 사람들이나 제품이 실제 어떻게 활동하고 있는지를 보여주는 신뢰성, 저가 상품을 제공해 구매자들을 모으는 접근가능성, 외부 환경에 크게 영향을 받지 않는 회복성을 갖고 있는 것으로 평가된다.
블랙마켓의 먹이사슬은 크게 최상위에 있는 관리자들부터 주제별 전문가들, 브로커 및 제조사, 운반책, 구매자 등으로 구성된다.
주제별 전문가들은 악성코드 제작자에서부터 개인정보 수집가, 제로데이 취약점 연구원, 익스플로잇 개발자 등으로 분류된다.
관련기사
- 스마트폰 문자로 ATM서 돈 빼는 해킹 등장2014.04.02
- "화웨이, 美 NSA한테 해킹당해왔다"2014.04.02
- 보안 담당자 처벌이 해킹방지 대안인가?2014.04.02
- 파밍용 악성코드 제작자, 구글계정도 판매2014.04.02
제조사의 경우에도분산서비스거부(DDoS) 공격 대행 서비스, 스팸유포, 봇넷 대여, 호스팅 시스템 제공, 사용자 신원 및 금융데이터 제공 등으로 다양하다.
운반책들은 일명 '뮬(mule)'로 불리는 이들로 이 역시 해킹툴 등을 자신의 이메일과 같은 수단을 통해 구매자에게 전달되도록 돕고, 브로커에게 받은 돈을 전달하고, 수수료를 받는다. 이와는 달리 자신이 운반책을 악용됐다는 사실 조차 모르고 있는 일반인들도 있다.
