제 버릇 개 못 준다. 사기로 먹고 사는 놈들 사이에는, 같은 사기꾼들을 사기치는 부류들이 있다. 심지어 수익 수준도 높다. 그러면서 자기들끼리 싸움이 붙는데, 그 과정에서 보안 전문가들이 활용할 만한 정보들이 꽤나 나온다.

[보안뉴스 문가용 기자] 사이버 범죄자들은 기생충에 비유되곤 한다. 실제로 그들은 스스로 뭔가를 생산하지 않고 남의 것을 가로채는 것으로 생계를 유지하기 때문에 이 비유가 틀린 건 아니다. 그런데 이 기생충들이 최근 자신들의 살을 파먹기 시작했다는 조사 결과가 나왔다. 보안 업계로서는 달가울 수 있는 소식이다. 방어에 도움이 되는 위협 첩보가 풍부하게 발생하기 때문이다. 이 중에는 사이버 범죄자의 연락처와 위치 정보도 포함된다.


보안 업체 소포스(Sophos)의 수석 위협 분석가인 맷 윅시(Matt Wixey)는 최근 열린 블랙햇 유럽 2022(Black Hat Europe 2022)에서 이러한 현상에 대해 발표했다. 연구에는 안젤라 건(Angela Gunn)이라는 동료가 함께했다고 한다. 둘은 “사이버 범죄 세상은 대단히 복잡하게 얽혀 있어, 우리가 아는 대로 일반 기업과 정부 기관을 상대로 엄청난 돈을 빼앗아 가는 부류가 있는가 하면, 또 다른 사이버 범죄자들로부터 상상 이상의 수익을 거두는 부류들도 있다”고 말한다.

두 연구원은 지난 12개월 동안 세 개의 다크웹 포럼들을 관찰했다. 러시아어 기반의 익스플로잇(Exploit)과 XSS, 영어 기반의 브리츠포럼즈(Breach Forums)였다. 그리고 수천 건의 ‘범죄자를 대상으로 한 사기 사건’을 파악할 수 있었다고 한다. “꽤나 사업성이 좋은 아이템이더군요. 저희가 관찰한 12개월 동안에만 공격자를 공격했던 자들은 총 250만 달러 이상을 벌어들였습니다. 한 번 사기를 칠 때마다 벌어들이는 수익은 최소 2달러에서 많게는 백만 달러에까지 이릅니다.”

사기꾼들을 대상으로 사기를 치는 전략은 다양하다. 하지만 가장 흔한 것은 ‘사기치고 빠지기’이다. 상점 주인으로부터 해킹 도구나 각종 데이터 등을 구매하고서는 돈을 내지 않는 것이다. 혹은 반대로 구매자로부터 돈을 지불 받고 약속된 물품이나 서비스를 제공하지 않는 경우도 여기에 해당한다. 물건을 가져간 구매자 혹은 돈을 받은 판매자들은 이런 경우 완전히 사라진다. 포럼에서도 사라지고 그 어떤 질문이나 글, 요청에도 답하지 않는다. 식당에서 밥을 먹고 도망쳐 나가는 것과 비슷한 행위라고 볼 수 있다.

그 다음으로는 아예 처음부터 가짜 물품이나 서비스를 광고하는 범인들도 많다. 있지도 않은 암호화폐 계좌라든가, 아무 것도 만들지 못하는 매크로 빌더라든가, 이미 유통될 만큼 된 낡은 데이터베이스 등 이쪽 부분도 사기꾼들의 창의력은 무궁무진하다고 윅시는 설명한다. “한 사기꾼은 .EXE 파일을 PDF에 묶어주는 서비스를 제공한다고 하더군요. 피해자가 PDF를 클릭하면 배경에서 악성 행위가 조용히 실행된다고 광고하면서 자신의 서비스를 광고하더군요. 돈을 내고 서비스를 신청하면 그냥 평범한 문서에 PDF 아이콘을 적용해서 보내는 게 다입니다. PDF도 아니고, .EXE 파일이 포함되지도 않았지요.”

제대로 된 물건과 서비스를 판매하긴 하지만 광고로 잔뜩 부풀린 것에 비해서는 한참 못 미치는 것을 거래하는 경우도 많았다고 한다. “30% 이상이 실제 사용 가능한 것이라며 다량의 신용카드 정보를 판매하는 한 상인의 경우가 생각납니다. 실제로 구매를 해 보니 사용 가능한 게 10%도 되지 않았습니다. 실제로 30%가 활용 가능한 데이터베이스를 판매하는 판매자들도 있는데, 이들의 경우 ‘독점 판매’만 한다고 광고하기도 합니다. 즉 소수의 구매자에게만 판매하겠다는 것이죠. 하지만 뒤에서 여러 명에게 판매하면서 이득을 챙깁니다.”

장기적인 계획을 가지고 사기를 치는 사례들도 존재한다. “이런 부류들은 먼저 피해자와 어느 정도 신뢰를 쌓습니다. 처음에는 제대로 된 물건도 주고, 제대로 된 서비스를 제공하기도 하죠. 그러다가 어느 날 피해자가 큰 건을 의뢰하면 갑자기 ‘이 일을 나보다 더 잘 할 수 있는 사람을 알고 있다’고 말하기 시작합니다. 그리고 가짜 포럼이나 가짜 상점으로 안내하죠. 물론 이 가짜 상점의 주인은 공격자의 동료입니다. 거기서 일종의 등록비나 계약금을 요구하고, 피해자로부터 돈을 받습니다. 그러고 나서는 자취를 감추는 거죠.”

다크웹 포럼들에도 안전 장치가 마련되는 중
이런 사기 사건이 빈번해지니 다크웹 포럼에서도 안전 장치를 마련하기 시작했다. 하지만 다크웹의 해킹 포럼이기 때문에 안전 장치 마련이 쉽지 않다. 일단 사법 기관의 힘을 빌릴 수가 없다. 그러니 어떤 규정이나 제도도 강제력을 갖지 못한다. 게다가 다크웹에서는 누구도 실명을 쓰지 않는다. 다들 익명으로 관계를 맺고 거래를 한다. 그러니 나쁜 짓을 저지르고 도망가도 추적하기가 힘들다. 그래서 다크웹 포럼 운영자들이 할 수 있는 일은 사건이 발생한 후 경고를 멤버들에게 돌리는 것 정도다.

일부 다크웹 포럼들에서는 URL을 확인하는 플러그인을 설치하기도 한다. 이를 통해 가짜 사이버 범죄 포럼이 아니라 진짜 존재하는 포럼으로 피해자의 접속을 유도하는지 아닌지를 확인할 수 있다. 사기꾼들이 사용하는 ID나 도구들의 블랙리스트를 공개하고 공유하여 최대한 피해를 예방하려 하기도 한다. 그리고 자체 심판 제도를 마련해 피해자가 운영자에게 피해 사실을 제보할 수 있도록 하는데, 이는 거의 모든 포럼들에 존재하는 기능이다.

“피해자들이 사기꾼을 제보할 때 사용자 이름과 연락처 정보를 공유할 때가 많습니다. 여기에 더해 구입 증명 자료나 송금 자료를 첨부하기도 하고요. 그래야 자신이 피해를 입은 게 사실이라는 걸 증명할 수 있죠. 스크린샷, 채팅 로그 등 입증에 필요한 자료는 전부 취합해 올리는 편입니다. 이 자료들은 포럼 사용자들 거의 전부가 볼 수 있도록 공개됩니다. 강제력이 없는 세상이니, 다들 알아서 사기꾼을 잘 피해가라는 겁니다.”

이렇게 자료가 올라오면 심판 혹은 중재를 맡은 자가 내용을 쭉 검토한다. 만일 부족하다면 제보자에게 더 많은 정보를 요구하기도 한다. 피해 사실이 확인되면 심판 혹은 중재자가 공격자에게 12~72시간 내에 응답하라는 메시지를 보낸다. “물론 포럼 내 심판의 말을 곧이 곧대로 듣는 경우는 거의 없습니다. 오히려 제보된 내용을 반박하고, 오해로 비롯된 일이라고 주장하기 시작하죠. 어떻게든 사기꾼으로 보이기 싫은 겁니다. 물론 그냥 무시하고 다시는 포럼에 나타나지 않는 부류들도 수두룩하게 많습니다. 그러면 해당 ID를 가진 자는 일정 기간 동안, 혹은 영구히 포럼에서 차단됩니다.”

첩보 수집 및 분석가들에게는 보물 창고
윅시는 특히 이 ‘심판과 중재 과정’이 보안 전문가들에게 유용할 수 있다고 짚는다. “일단 포럼에서는 판단을 하기 위한 각종 정보들을 요구합니다. 스크린샷, 채팅 로그 등이 포함되죠. 피해자들 중에 ‘그런 정보는 민감할 수 있으니 안 됩니다’라고 하는 사람은 없습니다. 일단 피해부터 복구해야 하니까요. 금방 자신이 가지고 있는 자료를 제출하죠. 조심성이 있는 사람은 중재자만 볼 수 있게 처리를 하기도 합니다만 드문 경우입니다. 중재자만이 아니라 포럼 여론까지도 자신에게 유리하게 가져가고 싶은 게 그들의 심리거든요.”

그렇기 때문에 공개되는 피해자의 스크린샷과 채팅 로그에는 암호화폐 지갑 주소, 거래용 ID, 이메일 주소, IP 주소, 이름, 소스코드 등과 같은 정보가 담겨져 있다고 윅시는 설명한다. “공격자의 정보도 노출되지만 피해자 자신의 정보도 적잖이 노출되는 경우가 많습니다. 어떤 경우 아무 것도 편집하지 않은 전체 스크린샷이 등장하기도 합니다. 시간, 날짜, 날씨, 언어, 설치된 앱이 고스란히 드러나죠. 그런데 여기서는 피해자도 선량한 사람은 아니죠. 그들도 사이버 범죄를 저지르는 사람들이니까요. 어느 쪽의 정보가 노출되든 보안 전문가들로서는 좋을 수밖에 없습니다.”

최근 소포스에서는 250건의 사기 제보를 분석했는데, 40% 가까이에서 민감한 스크린샷을 찾아낼 수 있었다고 한다. “8% 정도만이 중재자만 볼 수 있게 비밀로 설정해 두었습니다. 해커들도 보안에 허술하다는 걸 엿볼 수 있습니다. 또한 그 해커들도 스스로는 각종 사기와 속임수에 약하다는 것도 드러납니다. 그들도 우리처럼 당하고 있다는 것입니다. 그들이 당할 때 나오는 정보를 전략적 혹은 기술적 차원에서 활용할 방법을 찾는다면 방어가 꽤나 효율적으로 변할 겁니다.”

3줄 요약
1. 온라인 범죄자들의 또 다른 시장은 같은 온라인 범죄자들.
2. 같은 온라인 공격자들을 공격하는 사기꾼들, 연간 어마어마한 수익 올림.
3. 안전 장치가 모색되고 있으나 다크웹은 사법력도 없고 실명도 없는 공간이라 잘 안 됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>