• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 범죄 촉진시키는 베트남의 한 단체, 수천만 개 MS 계정 허위로 만들어 2023.12.19

인증 장치들을 우회하는 서비스를 전문적으로 제공하는 단체의 정체가 드러났다. 베트남인 해커들로 구성된 이 조직의 이름은 스톰1152이며, 이들이 미국 내 보유하고 있던 공격 인프라는 현재 무력화 된 상황이다.

[보안뉴스=타라 실즈 IT 칼럼니스트] 마이크로소프트의 디지털범죄유닛(Digital Crimes Unit)이 지난 주 사이버 범죄 서비스 제공자인 스톰1152(Storm-1152)를 성공적으로 무력화시켰다고 발표했다. 스톰1152는 무려 7억 5천만 개나 되는 MS 계정을 가짜로 생성해 다른 사이버 범죄자들에게 판매하는 식으로 사이버 범죄를 촉진시켰다고 한다. 그러면서 스스로는 수천만 달러의 수익을 올렸다.

[이미지 = gettyimagesbank]


“스톰1152는 불법 웹사이트와 소셜미디어 채널들을 운영하며, 가짜 혹은 사기적인 방법으로 만든 마이크로소프트 계정들을 판매하는 단체입니다. 여기에 더해 유명 플랫폼들에 사용되는 각종 신원 인증 도구들도 판매합니다. 다른 사이버 범죄자 단체들은 이런 것들을 돈 주고 사서 많은 시간과 노력을 아끼고 다른 것에 집중할 수 있게 됩니다.” 마이크로소프트 디지털범죄유닛 총괄인 에이미 호간버니(Amy Hogan-Burney)의 설명이다.

실제로 유명하다 하는 주요 사이버 범죄 그룹들 중 다수가 스톰1152의 고객인 것으로 분석되고 있기도 하다. 스캐터드스파이더(Scattered Spider) 혹은 옥토템피스트(Octo Tempest)가 그 중 하나다. 이들은 지난 9월 유명 호텔 카지노 업체인 MGM그랜드(MGM Grand)와 시저스엔터테인먼트(Caesars Entertainment)를 랜섬웨어로 공략했던 그룹이다.

호간버니는 “이번 조사를 통해 스톰1152의 리더들을 파악할 수 있었다”고도 밝혔다. 전부 베트남에 거주하고 있다고 하며, 이름은 다음과 같다.
1) 두옹 딘 투(Duong Dinh Tu)
2) 린 반 응구옌(Linh Van Nguyễn) 혹은 응구옌 반 린(Nguyễn Van Linh)
3) 타이 반 응구옌(Tai Van Nguyen)
“불법 웹사이트의 코딩과 퍼블리싱 모두 이 세 명이 진행한 것으로 조사됐습니다. 자신들이 공개한 도구의 사용법을 영상 튜토리얼 형태로 제작한 것도 이들입니다. 고객들과의 채팅 서비스를 진행하는 것도 이들이고요.”

MS는 이런 조사 결과를 들고 사법 기관과 법정을 찾았고, 공식 승인을 받아 스톰1152가 범죄 활동에 사용하는 공격 인프라 중 미국에 있는 것들을 전부 폐쇄시킬 수 있었다. 이 사이트들은 다음과 같다.
1) Hotmailbox.me : 불법 MS 계정 판매처
2) 1stCAPTCHA : 신원 확인 우회 도구 판매처
3) AnyCAPTCHA : 신원 확인 우회 도구 판매처
4) NoneCAPTCHA : 신원 확인 우회 도구 판매처
5) 각종 소셜미디어 사이트들 내 채널들

그저 그런 일반 사이버 범죄 조직 아냐
굳이 분류하자면 직접적인 침투를 저지르지는 않는 그룹, 즉 ‘최초 침투 브로커(IAB)’라고 할 수 있는 게 바로 이 스톰1152이지만 이들의 실력을 절대 간과해서는 안 된다는 게 MS의 설명이다. “각종 인증 장치들을 피해가는 도구를 직접 만들고, 세상에 존재하지 않는 사람들의 신원을 가지고 수천만 개의 MS 계정을 새로 만들어 판다는 건 아무나 할 수 있는 일이 아닙니다. 이 베트남 해커들의 실력이 상당 수준에 도달했음을 보여줍니다.”

보안 업체 온티뉴(Ontinue)의 부회장 크레이그 존스(Craig Jones)의 경우 “이런 ‘사이버 범죄 서비스’의 수요와 공급이 증가하고 있다는 건, 사이버 범죄라는 것이 점점 더 고도화 되고 있다는 뜻”이라고 설명한다. “한 마디로 각 단체의 전문성이 극대화 될 만한 환경이 갖춰지고 있다고 풀이할 수 있습니다. 침투에 자신이 있으면 거기에, 인증 우회에 자신 있으면 또 거기에, 랜섬웨어 개발에 자신이 있으면 오로지 개발에만 몰두하면 되는 생태계 구조가 짜여져 가는 것이죠. 방어자 입장에서는 대단히 무서운 현상입니다.”

보안 업체 크리티컬스타트(Critical Start)의 사이버 위협 연구 책임인 캘리 궨터(Callie Guenther)도 “스톰1152가 판매하는 도구들과 서비스만 보더라도 이들이 꽤나 수준 높은 그룹이라는 것을 알겠다”며 “다크웹 범죄자들의 고도화는 그대로 놔둘 경우 커다란 재앙으로 우리에게 닥칠 것”이라고 예언하기도 한다. “전문적인 서비스들이 만나 시너지를 일으킨다면 지금보다 더 보호하기 힘들게 될 것입니다.”

글 : 타라 실즈(Tara Seals), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>