애드웨어 사이버 범죄 일화

지난주 러시아 안티바이러스 전문가인 유진 카스페르스키는 요즘 사이버 범죄의 경향에 대해 미국의 유명 미디어에서 제대로 다루고 있지 않다고 얘기했다. 카르페르스키의 견해에 따르면, 피싱(phising)이나 스팸 메일 발송에 러시아 마피아들이 관련돼 있다는 고정관념은 대부분 사실이 아니라고 한다. 지난 주 MS는 한 불가리아인을 피싱 혐의로 체포하는데 도움을 주었고, 최근의 연방 정부의 기소는 미국인 해커 범죄자들의 활동을 밝히는데 도움을 주었다.알고보면 지극히 평범한 사람이 범죄자진슨 제임스 안체타의 경우를 살펴보자, 그는 20세로 캘리포니아주 다우니에 살면서 인터넷 카페에서 일하고 있었다. 숙모의 말에 따르면, 그는 군인이 되고 싶어했다고 한다. 그의 평범한 상황과는 다르게, 안체타는 1993년형 BMW를 타고 다니며 옷과 자동차를 위해 주당 600달러 이상 소비하는 등 부유한 생활을 했다. 지난 주 로스앤젤레스 연방법정은 안체타가 미 형사법 1030조 컴퓨터 사기와 기만에 관한 법률 위반에 대한 4건의 중죄를 선고했다.여러 건의 기소 내용에 따르면, 안체타는 봇마스터들이라면 누구나 할 수 있는 일을 했다. 그는 가능한 한 인터넷상의 많은 컴퓨터를 감염시키기 위해 원격으로 컴퓨터를 조종하는 기존의 트로이 목마(RATs)를 담은 웜을 제작했다. 이 웜의 목표가 되는 컴퓨터들은 파이어월이나 안티바이러스 솔루션이 없는 일반적인 가정의 컴퓨터들이었다. 안체타의 웜에 감염되면 IRC 채널을 이용해 그가 조정할 수 있도록 수정된 트로이 목마 프로그램인 rxbot이 설치된다. 시간이 지나면서, 그는 웜에 감염돼 원격에서 제어 가능한 4만 여대의 컴퓨터를 모았다. 이렇게 감염된 컴퓨터를 봇(bot)이라고 부른다. 그 중 몇 몇 봇은 폴스 처치에 위치한 미 국방부 정보시스템 계획국(DISA)과 캘리포니아에 위치한 차이나 레이크 기지의 해군 항공시설 컴퓨터에서도 발견됐다. DISA는 대통령, 부통령 및 국방장관을 위한 네트워크 기반 솔루션을 제공하는 기관이다. 안체타가 첫 번째로 한 일처음 1000개의 봇이 설치되자마자 안체타는 일을 시작했다. 늘어나는 봇들을 관리하기 위해 안체타는 서버를 임대하고 IRC와 웹 사이트를 설치했다. 그 웹 사이트는 봇의 임대료에 대한 내용과 다른 사이버 범죄자들을 위한 조언이 실려 있었다. 이 웹 사이트를 통해 그는 다양한 규모의 회사들을 해킹하는데 얼마나 많은 봇이 필요한지에 대한 정보를 제공했다.기소장에는 그와 거래를 했던 사람들과의 메시지들이 정리돼 있는데, 예를 들면, 킹 파오 일렉트로닉(King Pauo Electronic Company)과 산요 일렉트로닉 소프트웨어(Sanyo Electric Software Company)에 대한 DoS 공격을 했던 사람과의 대화 내용 등이다. 경쟁 웹 사이트를 다운시키려고 했던 어떤 사람은 비밀 소스로 분류돼 있기도 했다. 수사관들이 안체타의 거래를 처음 알아차린 것도 이 비밀 소스를 이용한 것일지도 모른다. 그 후 수사관들은 안체타를 추적했다.안체타가 두 번째로 한일안체타의 두 번째 작업은 매우 흥미롭다. 4번째 기소 내용에서, 안체타는 플로리다 보카 라톤에 살고있는 소브(Sobe)라는 이름의 익명의 인물과 협력을 했다고 얘기했다. 이 시기에, 안체타는 빨리 돈을 벌려는 목적으로 더 많은 서버를 임대했다. 애드웨어(Adware)는 도박 사이트, 포르노 사이트 등의 온라인 상점으로 연결시키거나 프로그램을 다운받기 위해 제휴 사이트에 가입을 하도록 유도하는 컴퓨터에 설치되는 기생 프로그램의 하나로, 설치된 프로그램을 통해 트래픽이 발생하면 제휴 사이트로부터 대가를 받게 된다.안체타와 소브는 라우드캐쉬(Loudcash)와 감마캐쉬(Gammacash)와 제휴하기 위해 서버를 임대했다. 감마캐쉬는 현재 불공정 거래 행위에 대한 고소에 직면한 애드웨어 회사 180솔루션즈(180solutions)의 사이트 중 하나이다. 안체타와 소브는 그 당시 만대 이상의 봇넷 네트워크를 가지고 있었으며 제휴 사이트의 서버에 접속시키기 위해 직접 원격으로 컴퓨터들을 제어하기 시작했다. 이 컴퓨터들에는 애드웨어가 자동으로 다운로드됐고, 그 대가로 안체타는 페이팔(PayPal)을 통해 돈을 끌어 모았다.얼마나 많은 돈을 모았을까? 기소장에 따르면 라우드캐쉬는 한 번에 최고 2305달러를 감마캐쉬는 7966달러의 쓸모없는 비용을 지불했다. 안체타는 총 6개월 동안 약 6만 달러 정도를 모았다고 말했다.안체타는 사고 네트웍스(Sago Networks), FDC서버(FDCservers), 플래닛(Planet)과 같은 호스팅 업체로부터 서버를 임대했기 때문에, 봇들이 동시에 한 서버에 몰려 서버 용량을 초과하여 의심을 받는 일이 없도록 주의해야 했다. 또한 제휴 사이트 역시 동시에 많은 양의 트래픽을 수신하는 경우 의심할 가능성이 있었다. 그래서 안체타는 소브에게 봇들의 트래픽을 조절하도록 했다. 소브는 IRC 명령어를 사용해 일반적인 네트워크에서 일어나는 트래픽인 것처럼 봇들을 여러 서버에 접속하도록 연결을 제한할 수 있었다. 하지만 항상 이 방법이 가능하지는 않았다.기소장의 설명에 따르면, 한번은 서버 관리자가 어떤 문제점을 발견하고 안체타와 소브에게 메시지를 보냈다. 이 서버 관리자는 IRC를 관리하는 채널은 6667번 포트가 이용되는데 실제 IRC 채널 이름에 잘못된 글자가 있는 것을 발견했다. 안체타는 관리자에게 "이 IRC 네트워크는 조사중이고 이 문제와 관련 있는 의심스러운 채널을 삭제할 것"이라고 얘기했다. 후에 안체타는 소브에게 "하하, 언제나 동작 하는군"하고 자랑했다.철저한 인터넷 보안 필요하지만 2004년 12월 10일, 수사관들은 다우니에 있는 안체타의 집을 급습했고 데스크톱과 노트북 컴퓨터를 압수했다. 그러나 이 일이 안체타를 막지는 못했다. 기소장에는 2005년 3월까지 계속해서 라우드캐쉬와 감마캐쉬로부터 돈이 입금됐다고 밝히고 있다. 또한 안체타는 계속해서 서버를 빌려 제휴 사이트를 늘리고 더 많은 돈을 벌려고 했다. 2005년 5월, 연방 정부는 안체타의 델 노트북을 압수했고, 그의 온라인 사업은 문을 닫게 됐다.위에서 설명한 범죄는 마피아 범죄 조직에 의해 일어난 것이 아니다. 단지 갑자기 부유한 삶을 살았던, 캘리포니아주 다우니의 한 인터넷 카페에서 일하는 한 청년에 의해 일어났다. 그와 비슷한 수백 명의 사람들이 존재하고 아마 미국에도 많을 것이다, 우리가 아직 알지 못하는 실행중인 봇 프로그램 역시 존재한다. 확실히 컴퓨터를 보호하지 않는다면 컴퓨터는 항상 표적이 될 수 있다. 최소한 컴퓨터로 수신되는 의심스러운 트래픽을 방어하고 제 3자에게 개인 정보를 유출하는 애드웨어를 막기 위한 두 가지 기능을 가진 파이어월은 설치해야 한다. 최고의 솔루션은 인터넷 보안 제품을 설치하는 것이다. 어떻든, 웜에 감염돼 비즈니스의 수단으로 쓰이는 컴퓨터가 적어지면 적어질수록, 이런 범죄에 대한 사람들의 동기는 점점 줄어들 것이다.안체타가 섹스나 도박 사이트로부터 돈을 긁어낸 뛰어난 비즈니스맨인가? 아니면 범죄자인가? @