범죄조직 루우우크, 첨단과 전통의 방법 혼용해 수사 난항

엄청난 속도로 해킹한 후 현금화...새로운 범죄유형 될까 걱정

[보안뉴스 문가용] 카스퍼스키랩은 최근 루우우크(Luuuk)라는 이름으로 활동하고 있는 금융사기집단의 존재를 발견했다. 루우우크는 MITB(Man in the Browser) 공격을 통해 최근 일주일 동안 50만 유로를 탈취하는 데 성공한 것으로 밝혀졌다.

현재까지 카스퍼스키랩은 제우스의 변종이 사용된 것으로 추정하고 있지만 이번 사건에서 중요한 건 멀웨어의 종류가 아니라 범죄행위의 속도다. 엄청나게 빨라진 해킹 및 탈취 행위를 통해 진화하고 있는 해커 문화의 일면을 엿볼 수 있기 때문이다.

카스퍼스키는 지난 1월 20일 제보를 통해 한 C&C 서버를 발견했다. 당시 그 서버는 일주일 정도만 사용된 상태였다. 하지만 금융정보를 캐내는 트로이목마와 어느 계좌에서 얼마만큼의 돈이 전송됐는지를 보여주는 로그파일의 흔적을 발견할 수 있었다. 놀랍게도 거래 총액은 50만 유로에 달했다. 이 서버를 분석한 전문가들은 해커들이 MITB 방식의 공격을 사용한 것으로 결론내렸다.

“C&C 서버에서 어떤 멀웨어가 사용되었는지에 대한 정보를 추출할 수는 없었습니다.” 카스퍼스키랩의 수석연구원인 빈센트 디아즈(Vincente Diaz)의 설명이다. “하지만 자기의 흔적을 지우는 기능을 가진 제우스 변종들이 여러 개 존재한다는 걸 감안했을 때 이번 탈취에도 제우스의 변종이 사용된 것으로 예상할 수 있습니다.” 고도의 해킹방법을 통해 웹사이트에 침투한 후 필요한 정보를 캐낸 것 같다는 게 그의 설명이다.

대부분의 분석가들은 해커들이 계정정보를 탈취한 후 곧바로 로그인을 해 돈을 전송한 것 같다는 의견을 내놓고 있다. 돈은 전부 한 개의 은행에서 인출됐으며 190개의 계좌가 털렸다. 피해액은 계좌당 1,700유로에서부터 39,000유로까지 다양하며 수취인 계좌 역시 여러 개로 분산되어 있었다. 그 돈들은 ATM 기기를 통해 현금화됐다.

카스퍼스키 측은 “탈취 과정 자체는 보통의 해킹피해 사례와 크기 다르지 않았습니다. 중요한 건 마치 기존의 은행털이범들처럼 운반책들이 미리 짜인 각본대로 움직이며 돈을 세탁했다는 겁니다”라며 “이 운반책 개개인의 거래 한도액도 달라 세탁을 의심하기가 더 힘들었습니다”라고 발표했다.

그렇다면 이는 어떤 의미를 가지고 있을까? “아마 운반책 각자의 거래 한도액이 달랐다는 건 조직 내에서 개개인에게 부여한 신뢰도가 달랐다는 뜻일 겁니다. 이런 범죄조직 내에서는 끈끈한 신뢰 같은 게 흔치 않습니다. 서로가 서로를 의심하는 게 대부분이죠. 돈을 가지고 도망을 가기도 하고요. 루우우크는 이런 사태를 사전에 방지하고자 했던 것 같습니다.”

카스퍼스키가 서버를 발견하고 이틀 후, C&C 서버 운영자는 모든 증거물을 깨끗이 지웠다. 하지만 전문가들은 다만 ‘범죄현장’이 바뀌었을 뿐이라고 분석하고 있다. 즉 유사 범죄행위가 또 일어날 가능성이 높다는 것. “이 조직은 활동력이 왕성한 것으로 보입니다. 범죄조직치고 보안도 강력해서 전략도 기동력 있게 바꾸고 있고 발각되었을 때 증거를 지우는 속도도 엄청납니다.”

카스퍼스키는 아직도 이번 사거에 대한 조사를 이어가고 있다. 법률 전문 에이전시들도 이에 참여하고 있으며 금융기관도 적잖이 관심을 보이고 있다. 루우우크에 대한 포위망이 점점 좁아지고 있으나 아직도 그 존재는 미궁 속에 남아있다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>