• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

거대 다크웹 시장 제네시스마켓, 국제 공조 활동으로 폐쇄돼 2023.04.07

해커들 사이에서 유명했던 사이버 범죄 시장 제네시스마켓이 폐쇄됐다. 더 이상 이 사이트는 예전처럼 작동하지 않는다. 공격자들은 하루아침에 거래처와 거래 경로, 유능한 IAB 서비스 제공자를 잃게 됐다.

[보안뉴스 문정후 기자] 미국의 FBI가 다크웹에서 가장 유명한 시장이자 포럼 중 하나인 제네시스마켓(Genesis Market)을 폐쇄시키는 데 성공했다. 사이버 공격자들은 제네시스마켓에서 쿠키, 크리덴셜, 토큰 등을 주로 거래해 왔다. 공격을 위한 봇들도 일부 판매되곤 했었다. 사이버 범죄 시장에서 중요한 역할을 담당했던 곳이며, 이곳이 폐쇄됐다는 건 범죄 생태계가 크게 흔들릴 것이라는 뜻이 된다.

[이미지 = utoimage]


FBI는 ‘쿠키몬스터 작전(Operation Cookie Monster)’을 통해 이같은 성과를 올렸다고 발표했다. 그리고 이 작전에 유로폴, 스페인 경찰, 스웨덴 경찰, 캐나다 경찰이 참여했다고 한다. 현재 제네시스마켓 사이트에 접속할 경우 FBI의 경고문과 함께 제네시스마켓에서 활발하게 활동했거나 운영에 가담했던 자들에 대한 정보를 제보 받는다는 안내를 볼 수 있다. FBI는 제보를 위한 연락처를 기재해 두기도 했다.

최초 접근 브로커의 무력화
제네시스마켓이 처음 세상에 등장한 건 2017년의 일이다. 초반에는 초대 기반 포럼으로 운영됐다. 아무나 들어가지 못하는 곳으로, 이곳에서 소수의 멤버들끼리 다른 사람들의 개인정보와 크리덴셜, 쿠키 등을 거래했다. 그러더니 시간이 흘러 제네시스마켓 자체가 하나의 커다란 최초 접근 브로커(IAB)처럼 변하게 되었다. IAB는 다른 사이버 범죄 단체가 피해자의 네트워크나 시스템에 접근할 수 있도록 길을 뚫어주는 역할을 전문으로 하는 유형의 사이버 범죄자들을 말한다. 랜섬웨어 단체들이 IAB의 커다란 고객이다.

“제네시스마켓은 IAB라는 용어가 정립되기도 전에 이미 다크웹의 대표 IAB 조직이었습니다. 역사가 오래된 만큼 향상된 기술을 잘 활용하기도 했지요.” 보안 업체 소포스(Sophos)가 과거 발표한 보고서의 일부 내용이다. 제네시스마켓이 한창 이름을 떨칠 때에는 40만 개 이상의 봇(최초 침투에 성공해 감염시킨 시스템)을 보유하고 있을 정도였다. 이 봇이 또 다른 공격의 인프라로 활용되기도 했다.

“제네시스마켓은 사이버 범죄 시장의 산업화, 전문화, 분업화를 보여주는 살아 있는 사례 그 자체였습니다. 여기서 사이버 범죄자들은 서로가 기업들인 것처럼 전문 분야를 가지고 협업을 하고 거래를 진행했습니다. 사이트 운영자들은 그런 거래를 활성화시킬 때마다 수수료를 받았고요. 사이트만 제공한 게 아니라 중간에서 IAB 역할까지 하니 여러 범죄 그룹의 활동을 더 촉진시킬 수도 있게 되었지요.” 소포스의 설명이다.

제네시스마켓에서 보유한 봇들은(미리 감염된 장비들) 대규모 소비자 장비 감염 작전에도 동원됐다. 디지털 지문, 쿠키, 저장된 로그인 크리덴셜, 자동 채우기 데이터 등을 훔치는 게 목적이었다. 훔쳐낸 정보를 패키지로 만들어 사이트에서 판매했는데, 이 역시 적잖은 수입원이 됐다. 패키지 당 적게는 1달러, 많게는 370달러를 받았다.

사법 기관들의 연이은 승리
최근 사법 기관들은 계속해서 다크웹 내 중요 사이트들을 폐쇄시키는 데 성공하고 있다. 3월에는 정보 유출을 주제로 운영되고 있는 브리치포럼(Breach Forums)이 문을 닫았다. 운영자가 뉴욕에서 체포되기도 했다. 그러면서 유출된 정보를 거래하던 사이버 범죄자들이 갈 곳을 잃게 됐고, 제2의 브리치포럼이 되고자 하는 시도들이 어이지는 중이다.

사실 브리치포럼 역시 이런 식으로 탄생한 사이트다. 국제 사법 기관들이 다크웹의 커다란 시장인 레이드포럼(RaidForums)을 폐쇄시키자 그 후신으로 등장하며 주목을 받은 사례다. 레이드포럼이나 브리치포럼 모두 사이버 범죄 활동을 촉진시킨다는 점에서 사법 기관들의 관심을 받아 왔고, 결국 폐쇄되기에 이르렀다. 그 후도 뭔가가 새롭게 나타나 빈 자리를 차지할 것이지만, 활동할 수 있는 주기가 꾸준히 줄어들고 있어 사이버 범죄자들이 져야 할 부담이 커지고 있다.

한 편 지난 주에는 록빗(LockBit)이라는 악명 높은 랜섬웨어 갱단의 지도자급 인물 중 한 명이 캐나다에서 채포되기도 했다. 지난 달에는 레빌(REvil) 랜섬웨어 그룹의 일원이라고 알려진 우크라이나인 한 명이 폴란드에서 체포돼 미국으로 인도됐다. 작년 10월에는 브라질에서 랩서스(Lasus$)라는 해킹 그룹의 일원 한 명이 체포되기도 했었다.

3줄 요약
1. 쿠키와 로그인 크리덴셜 등을 주력으로 팔던 다크웹 시장, 제네시스마켓.
2. 이번 주부터 국제 사법 기관들의 공조로 폐쇄됨.
3. 최근 체포 및 폐쇄 작전의 속도가 높아지면서 공격자들에게도 부담이 커짐.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>