대규모 범죄 조직, 직원 수 50명 이상에 연간 매출 5,000만 달러 이상 유지
트렌드마이크로, 사이버 범죄 조직 보고서 ‘사이버 범죄 기업의 내부’ 발표

[보안뉴스 김영명 기자] 사이버 범죄 조직이 성장할수록 합법적 기업의 형태를 갖추고 있는 것으로 파악됐다. 일반적인 대규모 사이버 범죄 조직은 운영 비용의 80%를 임금에 할당하며, 소규모 범죄 조직도 78%로 비슷하게 높은 수준을 보였다. 기타 일반 지출 비용으로는 서버, 라우터, VPN 등 인프라 구성비와 함께 가상머신, 소프트웨어 등을 마련하는 데 사용되는 것으로 파악됐다.


글로벌 사이버보안 리더인 트렌드마이크로(한국지사장 김진광)는 최근 ‘사이버 범죄 기업의 내부’라는 이름의 사이버 범죄 조직 보고서를 발표했다. 트렌드마이크로는 보고서에서 수사기관과 내부자 정보를 통해 대부분의 데이터를 모으고, 크기에 따라 소규모·중간 규모·대규모 등 세 가지 유형의 조직을 설명했다.

먼저, ‘소규모 범죄 조직’은 일반적으로 한 단계의 경영 계층이 존재하며 직원 수 5명 이내로 50만 달러 미만의 연간 매출을 유지한다. 한 구성원이 여러 가지 업무를 처리하며, 본업을 가지고 있다. 사이버 범죄 조직 대부분이 이에 해당하며, 다른 범죄 조직과 자주 협력한다. 소규모 범죄 조직의 사례는 안티바이러스 탐지 여부 제공 서비스인 ‘Scan4You’가 있다.

두 번째로 ‘중간 규모 범죄 조직’의 특징은 일반적으로 두 단계의 경영 계층이 존재하며 직원 수 6~49명 내외로 최대 5,000만 달러의 연간 매출을 유지한다. 그리고 대개 피라미드 형태의 계층적 구조를 가지며 단일 책임자를 두고 있다. 중간 규모 범죄 조직의 사례는 불법 호스팅 서비스 ‘MaxDedi’가 있다.

마지막으로 ‘대규모 범죄 조직’은 일반적으로 세 단계의 경영 계층이 존재하며 직원 수는 50명 이상, 연간 매출은 5,000만 달러 이상을 꾸준히 유지한다. 하위 관리자 및 감독자의 수가 비교적 많으며, 효과적인 OPSEC(Operational Security, 운영 보안)을 구현하고 다른 범죄 조직과 파트너 관계를 유지한다. 대규모 범죄 조직은 풍부한 경력의 사이버 범죄자가 책임자를 맡으며, 단기 계약직을 포함해 개발, 행정, 침투 테스트 담당 등을 다수 고용하고 있다. IT, HR 등 기업과 유사한 부서가 있거나 성과 평가와 같은 직원 프로그램을 운영하는 경우도 존재하는 것으로 파악됐다. 대규모 범죄 조직의 예는 콘티(Conti) 랜섬웨어 그룹이 있다.

보고서는 수사 시 사이버 범죄 조직의 규모와 복잡성을 파악해 어떤 유형의 데이터를 추적해야 하는지 등의 중요한 단서를 확보할 수 있다고 설명했다. 예를 들어, 대규모 범죄 조직을 수사할 경우 △직원 명단 △재무 보고서 △회사 안내서 및 입문서 △합병 및 인수 문서 △직원 암호화폐 지갑 정보 △공유 캘린더와 같은 데이터를 추적 대상으로 삼을 수 있다.

트렌드마이크로 존 클레이(Jon Clay) 위협 인텔리전스 부사장은 “사이버 범죄 조직은 구성원과 수익이 증가함에 따라 점차 복잡해지고, 합법적인 비즈니스를 모방하며 빠르게 전문화되고 있다”며 “이러한 성장과 동시에 사내 정치, 저성과자, 신뢰 문제 등을 겪으며 관리에 어려움을 겪기도 한다”고 말했다. 이어 “트렌드마이크로의 이번 보고서는 사이버 범죄 조직의 규모에 따른 특징을 전해 범죄 수사 시 조직 규모 파악의 중요성을 다시 한번 상기시킨다”고 덧붙였다.

사이버 범죄 조직이 규모에 따라 뚜렷한 특징을 보이는 만큼, 수사 효과를 극대화할 수 있는 조직을 먼저 확보하는 등 우선순위를 정해 효율적인 수사를 진행할 수도 있다. 한편, 이번 보고서의 전문은 트렌드마이크로 홈페이지에서 확인할 수 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>