| 고객만족 보장! 사이버 범죄자들, 서비스형 범죄도구 판매한다 | 2017.06.14 |
익스플로잇 월 정액제부터 서비스형 가짜뉴스까지
사이버 공격자들, 기술과 사업수완에 모두 능해 [보안뉴스 오다인 기자] 뛰어난 멀웨어 제작자들은 기술적으로 탁월할 뿐 아니라 사업적인 수완도 좋은 것으로 나타났다. 최신 보안 기술을 우회하는 능력과 더불어, 돈을 벌고 싶은 전 세계 범죄자들의 욕구도 충족시킬 줄 안다는 것이다. 최근 사이버 범죄 벤처 회사가 많이 등장하고 있다. 이들은 여느 소프트웨어 회사처럼 기술 스택을 조정하고 ‘크라임웨어’(crimeware)를 서비스하기 위해 수익 모델을 손 보고 있다. 현재 다크웹에는 크라임웨어, 훔친 데이터, 팔 수 있는 기타 아이템들이 서비스형으로 계속 판매되는 중이다. ![]() [이미지=iclickart] 이렇게 서비스형으로 소프트웨어를 제공하는 것을 일러 ‘서비스형 소프트웨어(SaaS: Software as a Service)’라고 하는데, 최근 들어 다양한 형태의 사이버 범죄가 SaaS처럼 판매되고 있는 것이다. 사이버 범죄 세계에서 SaaS 정신이 얼마나 확장돼있을까. 이를 보여주는 사실과 수치를 함께 살펴보자. 1. 셰도우 브로커스의 서비스 워너크라이는 셰도우 브로커스에게 아마도 최고의 마케팅 수단이었을지 모른다. 워너크라이 랜섬웨어는 셰도우 브로커스가 NSA에서 훔쳐낸 특별한 익스플로잇을 통해 전 세계로 확산됐기 때문이다. 지금 셰도우 브로커스는 물 들어올 때 노 젓자는 정신으로 발 빠르게 움직이는 것으로 보인다. 지난 주, 셰도우 브로커스는 미국 정부기관인 NSA에서 훔쳐낸 여러 가지 상품들을 월별 정액제로 판매하겠다고 공표했다. 익스플로잇과 제로데이, 해킹 툴을 제공함으로써 고객 만족 서비스를 실현하겠다는 야심찬 계획으로 보인다. 월정액은 원화로 약 2천3백만 원이다. 2. 2천3백만 원에 놀라지 말자. 시장은 수요와 공급이 만나는 곳이니까. 일반적인 익스플로잇 킷, 그러니까 범죄 도구가 SaaS로 제공되고 있다는 게 이제 이해가 되지 않는가. 더 재밌는 사실은 이런 킷의 ‘구독 가격’이 시장 트렌드에 따라 좌우된다는 사실이다. 사이버 암시장에 유일무이한 킷이 등장한다거나 경쟁사의 몰락 등에 의해 가격이 달라진다는 거다. 지난 해 ‘앵글러(Angler)’라는 익스플로잇 킷이 시장에서 갑자기 자취를 감췄을 때, ‘뉴트리노(Neutrino)’ 익스플로잇 킷의 가격은 하룻밤 새 거의 두 배로 뛰었다. 종전 3백5십만 원 정도 하던 것이 다음 날 7백만 원까지 뛰었던 것이다. 이런 사실은 보안 전문업체 체크포인트(CheckPoint)의 연구원들에 의해 밝혀졌다. 이를 고려할 때, 4만 개 이상의 셰도우 도메인을 보유했던 RIG 익스플로잇 킷이 도메인 폐쇄라는 거대한 타격을 입은 지금, 시장에 무슨 일이 일어날지 지켜보는 건 꽤 흥미로운 일이 될 것 같다. 3. 사물인터넷(IoT) 봇넷 대여 봇넷 대여는 최근 들어 더 재밌어졌다. 미라이(Mirai) 유형의 사물인터넷 디도스 공격이 그 공격 수위를 계속해서 높이고 있기 때문이다. 지난 해, DNS 공급업체인 딘(Dyn)에 대해 대규모 디도스 공격이 있었다. 이런 딘 사태를 포함해 유명한 타깃들을 대상으로 많은 공격이 이어지는 상황이다. ‘카더라’에 따르면 수많은 미라이 봇넷 구독 서비스가 자사 제품을 열심히 홍보하고 있는 것으로 보인다. 가장 큰 서비스 중 한 곳은 대여하는 데 4십만 대의 기기를 제공하겠다고 말하고 있다. 2주 동안의 대여료는 5만 대의 기기를 빌리면 3백만 원, 10만 대를 빌리면 7백5십만 원까지 책정하는 것으로 나타났다. 4. 모듈화된 멀웨어 서비스 합법적인 서비스들이 소비자의 욕구 충족을 위해 최상급 맞춤 서비스를 제공하고 있는 것과 같이, 크라임웨어 서비스도 같은 서비스를 제공한다. 지난 달, 보안 전문업체 테르븀(Terbium)과 체크포인트는 ‘다이아몬드폭스(DiamondFox)’라고 불리는 모듈러 봇넷 서비스를 파헤쳤다. 이 봇넷 서비스는 엄청나게 많은 옵션들을 제공했으며, 매우 전문적이며 사용자 친화적인 관리 패널을 구축해놓았다. “이렇게 고도화한 모듈러 멀웨어는 키로깅(keylogging)부터 브라우저 비밀번호 도난까지 모든 것을 다루고 있는 것으로 보인다. 디도스 공격을 펼칠 수 있는 다양한 기술이나 가상화폐 지갑을 훔치는 것까지도 이에 포함된다.” 다이아몬드폭스에 관한 보고서는 이렇게 서술했다. 해당 서비스의 가격은 3십만 원 선에서 출발해 플러그인마다 1십5만원을 별도로 받는다고 한다. 5. 서비스형 랜섬웨어 최근 들어 급증하는 랜섬웨어 공격은 서비스형 랜섬웨어가 확장하고 있는 것과 맞물려 발생한 것이다. 서비스형 랜섬웨어는 2015년에 맨 처음 등장했다. ‘톡스(Tox)’라는 거였는데, 독특한 비즈니스 모델 때문에 유명했다. 톡스는 이윤을 나눠 갖는 구조를 제안했다. 톡스 제작자는 선불로 한 푼도 받지 않았으며, 피해자가 공격자에게 지불하는 금액의 20%를 요구했다. 톡스는 꽤 빠르게 시장에서 사라졌지만, 이를 모방한 사람들이 그 뒤를 이었다. 멀웨어 제작자가 수수료를 점점 더 크게 부르고 있는 지금, 이윤 분배 구조는 이에 참여하는 모든 이에게 아주 유혹적으로 보일 수밖에 없다. 작년 여름에 나온 보고서에 따르면, 케르베르(Cerber) 제작자는 서비스 구매자에게 피해자로부터 받은 금액의 40%를 요구한 것으로 나타났다. 6. 서비스형 피싱 피싱은 양으로 승부를 보기 때문에 단가가 싸다. 다른 사이버 범죄 서비스들이 고가라서 덜컥 살 수 없는 데 반해, 서비스형 피싱은 저렴해서 여느 필부들도 충분히 구매할 수 있다. 보안 전문업체 포티넷(Fortinet)이 암시장에서 발견한 어느 플랫폼은 VIP용으로 내놓은 피싱 크리덴셜 가격이 1개월에 3천5십 원부터 시작했다. 이들이 제안한 크리덴셜의 평균 가격은 약 1백5십 원부터 1만5천 원까지였던 것으로 나타났다. 7. 서비스형 백도어 JSocket, jRAT, AlienSpy, Adwind 등의 이름을 사용한 서비스형 백도어는 자바 기반 백도어 서비스 가운데 가장 인기 있는 상품 중 하나였다. 이 백도어 서비스를 이용하는 범죄자들은 초기 투자 비용을 거의 들이지 않고 원격 접근 트로이목마(RAT: Remote Access Trojan)라는 진보된 기술을 사용할 수 있었다. 매우 싼 값에 매우 질 좋은 공격을 할 수 있는 셈이다. 연구자들은 최근 이 서비스가 매월 4만5천 원에 판매되고 있다고 밝혔다. 8. 서비스형 가짜뉴스 영국의 정보보안 전문지 ‘인포시큐리티(InfoSecurity)’는 지난 13일, “4억 원이면 선거를 살 수 있다”는 제목의 기사를 보도했다. 이 기사는 12개월 동안 선거를 조작하는 데 최소 4억 원이 들어간다는 트렌드 마이크로(Trend Micro)의 보고서를 인용했다. 가짜뉴스를 만들고 사이버 상에 유포해 여론을 조작하면 1년 뒤에는 선거 결과까지 바꿔놓을 수 있다는 내용이다. 이런 서비스형 가짜뉴스는 허위 SNS 계정을 만드는 것부터 허위 사실을 개발해내는 것, 페이스북의 ‘좋아요’나 트위터의 ‘리트윗’을 통해 유포시키는 것, 심지어는 합법적으로 보이는 뉴스 사이트를 개설하는 것까지 아우른다. 돈을 좀 더 내면, 여러 개의 뉴스 사이트를 구매할 수 있어 사이트들 간 교차로 기사를 공유해 뭔가 더 사실인 것처럼 보이게도 만들 수 있다고 알려졌다. 놀랍게도 이런 사이트들은 무역 거래의 성사여부나 선거 및 국민 투표(referendum)에도 영향을 줄 수 있다고 약속하고 있다. 국민 투표의 경우, 최소 4억 원을 요구하는 것으로 나타났다. 거리 시위를 선동하는 캠페인은 2억 원 정도가 들고, 어떤 기자의 평판을 떨어뜨리는 데는 5천5백만 원 정도가 책정된다. 3십만 명이 ‘팔로잉’하는 유명인사를 가짜로 만들어내는 데는 2백6십만 원이 든다. 트렌드 마이크로의 사이버 보안 설계자 사이먼 에드워즈(Simon Edwards)는 인포시큐리티와의 인터뷰에서 “가짜뉴스의 세례에서 스스로를 보호하는 건 쉽지 않지만, 기사나 영상의 내용을 사실이라고 믿기 전에 시간을 들여 다시 읽어보고 생각해보는 것을 권고”한다고 밝혔다. [국제부 오다인 기자(boan2@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
|
|