클라우드 타고 진화하는 사이버 범죄

최근 트렌드마이크로는 '연변 모바일 갱-한국 사용자를 타깃으로 한 모바일 위협'이라는 보고서를 통해 중국 연변 지역을 중심으로 국내 공모자가 연계된 사기조직의 실체를 공개했다.

사기조직은 조직책, 악성코드 제작자는 물론 통역사와 실제 유출시킨 돈을 인출해 송금하는 일명 '카우보이(중간운반책)'까지 고용했다고 한다. 트렌드마이크로는 스미싱과 파밍 등 인터넷에서 발생하는 사이버 범죄를 분석하다가 몇 가지 유의미한 패턴을 찾은 것으로 보인다.

게임 계정 도용, 게임 아이템 사기를 파헤치다보면 마지막에는 사이버 범죄의 종합 선물 세트를 만나게 된다. 사이버 범죄의 마지막은 돈과 직결돼 있다.

사이버 범죄 조직들은 우선 악성 코드가 감염된 플래시 파일을 올려 사용자 PC를 좀비로 만드는 일부터 시작한다. 플래시 보안 취약점이 제로데이 형태로 나오게 되면 1주일안에 악성 코드가 공급된다. 악성코드 제작자들은 약간의 선금과 수익 공유를 조건으로 만드는 경우가 많다.

중국 백신 회사나 보안 업체 등에서 일하는 직원들이 최신 악성 코드를 수집하여 한국과 중국, 그리고 일본에서 활동하는 범죄 조직이 원하는 형태로 변형하는 경우도 있다. 엑셀 등에 있는 오래된 보안 취약점을 이용해서 친러시아 해커들이 우크라이나 정부를 해킹하는데 사용한 OLE 1.0 버그가 대표적인 사례다.

거의 1년 동안 우크라이나와 동유럽에서 사이버 전쟁이 벌어졌지만, 오랫동안 외부에 알려지지 않았다. 타깃이 분명한 사이버 전쟁의 특성상 확인이 쉽지 않았다. 우연치 않는 기회에 글로벌 백신 회사들이 유럽연합(EU) 사무국 직원의 PC에서 발생한 에러를 통해 우크라이나 정부를 상대로 한 사이버 전쟁을 인지했다고 한다.

사안이 중요했던 만큼, 각 백신회사들은 악성 코드 샘플과 정보를 거의 실시간으로 공유했다. 1주일 뒤 중국에서는 새로운 버전의 악성 코드들이 다양한 버전으로 쏟아졌다. 악성코드는 곧바로 한국으로도 퍼졌다.

공격을 대행하는 사이버 용병과 중간 브로커들은 중국산 메신저와 클라우드 파일 공유 프로그램을 통해서 악성 코드를 공유하고 전달한다. 이들간 거래는 중국산 핀테크 앱과 국제 송금을 통해 주로 거래된다.

2000년 초만 해도 중국의 해킹 그룹과 연결하기 위해서는 연변에 있는 브로커 조직을 통하는 경우가 많앗다. 그러나 지금은 상황이 다르다. 공격을 감행해줄 중국 현지 해커들과 직접 커뮤니케이션하는 것이 어렵지 않다.

스미싱과 같은 범죄를 저지르는 조직 대부분은 한국인들이 주축이 되어 있고 해킹이나 특수 목적 분야에는 파트 타임 혹은 프로젝트 팀처럼 용병이 투입된다.

이들이 사용하는 프로그램은 ‘한우툴’ 등 비주얼 베이직으로 작성된 툴이 다수다. 이들 툴은 윈도XP에서만 동작하고 상위 버전 윈도에서는 제대로 돌지 않는다. 윈도 최신 버전과 백신만 잘 설치했다면 이들 툴로 만들어진 악성코드를 피할 수 있다.

이런 한계 때문인지, 범죄자들은 최근에는 윈도7이나 윈도 8.1 등에서 사용할 목적으로 중국 현지 해킹 조직 및 보안 회사 개발자들로부터 외산 해킹 프로그램을 수혈 받는 모습을 보여주고 있다. 중국 등 해외 조직이 제공한 툴은 사용 기간을 지정하거나 시간 당 과금하는 형태로 한국 해킹, 범죄 조직에 제공한다.

기동성을 위해 이들은 중국 내에서 한국내 클라우드 서버를 단기 임대하여 사용하는 패턴을 보여주고 있고 불법으로 취득한 데이터에 대한 저장 및 백업을 용이하게 하기 위해 다수 클라우드 저장 매체를 이용한다.