4년 간 전국 7천459개 PC방에서 약 47만대 달하는 악성코드에 감염시킨 좀비PC를 만든 뒤 이를 악용한 사이버 사기 도박으로 40억원 상당을 가로챈 일당이 검거됐다. 전국 PC방 중 60%가 이들이 유포한 악성코드에 감염됐던 적이 있는 셈이다.
경찰청 사이버범죄대응과는 IT분야 벤처사업가, 대학 컴퓨터 학과 중퇴 후 16년 간 프로그래머로 일해 온 경력자, PC방 게임설치 중개업자 등 15명을 검거(구속2, 불구속13)하고, 달아난 L씨를 추적하고 있다고 18일 밝혔다.
이들은 2012년 1월부터 최근까지 PC방에서 사용하는 관리프로그램의 업데이트 기능을 악용해 사전에 제작한 악성코드를 유포하는 수법으로 좀비PC들을 만든 뒤 이 PC들로 사이버 도박을 하는 피해자들의 패를 일명 '작업장'으로 전송했다. 작업장에서는 전문 도박꾼들이 상대방 패를 보면서 사기도박을 해 4년 간 40억원에 달하는 부당이익을 취했다.
피의자들은 전국 PC방에 보편화된 관리프로그램을 악용하면 손쉽게 사기도박용 악성코드를 유포, 감염시킬 수 있다고 판단했다. 이에 따라 2012년 1월부터 당시 업계 시장점유율이 높았던 AOO 업체의 관리프로그램 일체를 5억원에 인수했다. 그 뒤 이 프로그램에 직접 악성코드를 심어 유포하거나, 관리프로그램 공급을 담당하는 BOO업체에 돈을 지불하고 정상 프로그램인 것처럼 속여 악성코드를 삽입, 배포하는 수법을 써왔다.
경찰에 따르면 이 사건은 전체 PC방 중 60%에 달하는 곳이 감염됐다는 점에서 심각하다. 과거 7.7 분산서비스거부(DDoS) 공격에 27만대, 3.4 DDoS 공격에 10만대의 좀비PC가 악용됐다는 점을 고려하면 지난 4년 간 이들 일당이 악용한 좀비PC 수가 훨씬 많은 수이기 때문이다. 좀비PC들이 사이버 사기 도박 뿐만 아니라 DDoS 공격이나 다른 공격에 악용될 가능성 또한 배제할 수 없다.
피의자들은 사이버 사기도박을 위해 좀비PC와 이를 관리하는 좀비PC 통계서버, 화면중계서버, 사기도박 작업장 서버 등을 종합적으로 관리해왔다. 감염된 좀비PC를 통해 피해자가 도박을 하면 그 화면이 캡처돼 작업장으로 실시간으로 전송된다.
이들은 또한 백신과 같은 보안프로그램의 탐지를 우회하기 위해 파일형태가 아니라 해당 PC의 메모리에만 상주하는 방식으로 악성코드를 악용하는 치밀함을 보였다.
경찰은 "PC방 관리프로그램에 대한 보안 강화를 위해 안전성에 대한 인증 등을 제도화할 필요가 있으며, 관리프로그램을 제작, 운영하는 업체들이 악의적인 목적을 가진 제 3자를 통한 악성코드 설치 가능성에 대해 검증 및 관리가 필요하다"고 지적했다. 이어 "도박 범죄자이자 피해자인 불법도박 이용자들 역시 한탕주의에 빠져 사기도박에 대한 피해 가능성이 존재한다는 사실을 명심해야한다"고 강조했다.
관련기사
- 카드결제정보 노린 공격, 부트킷까지 악용2016.01.18
- MS-PC방, 라이선스 갈등 해법 찾는다2016.01.18
- 신의진 ‘중독법’ 난관…사감위 “도박도 빼”2016.01.18
- 美, 스마트폰 도박 게임 플랫폼 구축2016.01.18
경찰청은 한국인터넷진흥원(KISA), 한국인터넷PC문화협회와 협력해 이 사건에 대한 수사에서 드러난 PC방 관리프로그램 악용 사례가 재발되지 않도록 공동 대처할 계획이다.
또한 경찰은 앞으로도 PC방 등 공개된 장소의 PC들을 노린 신종 악성코드 유포로 개인정보 유출, 파일 삭제, 공격도구 혹은 경유지로 악용되는 유형의 피해가 발생할 것으로 예상돼 유관기관과 긴밀한 정보공유를 통해 적극적으로 관련범죄에 대응해 나갈 계획이다. 이와 함께 사이버 도박 사이트 100일 집중단속 계획에 따라 이번 사건으로 파악된 도박 사이트 운영자에 대해서도 계속 수사를 확대해 나갈 예정이다.
