• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

블랙햇 강연에 나선 FBI, 아발란시 폐쇄 작전을 말하다 2017.07.27

민간 업체의 협조 절실히 필요...국가 간 공조도 부드러워져야
범죄자들의 협조 체계는 매우 뛰어나...그것이 성공의 근원

[보안뉴스 문가용 기자] FBI의 사이버 보안 팀장인 톰 그라소(Tom Grasso)가 블랙햇 강연장에 서 보안 전문가들의 관심을 받았다. 좀처럼 모습을 드러내지 않는 FBI의 입을 통해 2016년 12월에 있었던 아발란시 봇넷 폐쇄 작전의 이야기를 생생히 전해들을 수 있던 시간이었다.

[이미지 = iclickart]


그런데 그라소는 강연을 시작하자마자 의외의 말을 했다. “아발란시는 봇넷이 아니었어요. 봇넷보다 거대한, 봇넷들을 활성화시키기 위한 인프라였죠. 2010년 두 명의 관리자가 만들어낸 것이었습니다. 티어가 여러 개 있는, 다계층 네트워크 서버랄까요. 이 구조를 통해 각종 멀웨어 캠페인이 진행되고, 자금 운반책이 운영됐습니다. 동시에 패스트 플럭스(fast flux) 통신 구조로서도 활용됐고요.”

아발란시의 공격을 받은 시스템은 50만에 달하고, 피해 액수로 따지면 수천만 달러에 달한다. 아발란시를 통해 유통된 멀웨어로는 니메인(Nymain) 랜섬웨어, 고즈님(GozNym) 뱅킹 트로이목마 등이 대표적이다.

그라소는 지하의 암시장인 다이렉트커넥션(DirectConnection)에서 발견한 아발란시 광고물을 청중들에게 보여주기도 했다. “트로이목마를 호스팅하기 알맞은 구조”라는 문구가 눈에 띈다고 말한 그라소는 “초고속 업링크, 아무도 뚫을 수 없는 호스팅”등의 캐치프레이즈들도 읽어나갔다. “아발란시와 관련이 있는 악성 도메인은 80만 개가 넘습니다. 이 구조의 복잡성만 들여다봐도 범죄자들의 끈기가 보이는 듯 합니다.”

계속해서 그는 “아발란시는 부모님 컴퓨터를 가지고 호기심에 경범죄 저질러보려는 10대 아마추어들이 절대 발을 들여놓을 수 있는 그런 곳이 아니”라며 “이건 하나의 거대한 기업이자 사업”이라고 정의했다. “사법 기관이나 보안 전문가들에 꼬리를 밟히는 일을 최대한 피하기 위해 전략적으로 구조를 복잡하게 꼬고 또 꼰 것이죠.”

그라소는 또한 봇넷의 위협을 줄이기 위해 FBI가 하는 일에 대해서도 나열했다. “여러 가지 방법을 동원합니다만 범인을 체포하고 고소해 형을 집행하는 게 가장 궁극적인 목적이죠. 또한 인프라를 와해시키는 것도 반드시 하려고 하는 일이고, 위협에 대한 침해지표와 시그니처를 대중에게 공유하는 것도 FBI가 하는 일입니다. 즉 범죄 행위에 동원된 인물들과 기술들을 무력화시키고, 방어에 필요한 정보를 세상에 알리는 것이라고 정리할 수 있습니다.”

또한 “민간 업체의 협력이 절실하다”며, 기술적인 부분이 수사의 많은 부분을 차지하기 때문에 지금도 다양한 민간 전문가들의 도움에 의존하고 있다고 그라소는 설명했다. “특정 위협에 대한 저희의 첩보와 업체의 첩보를 공유하고, 해결 방안을 내기 위해 격렬하게 회의를 진행합니다.” FBI는 민간 업체뿐만 아니라 해외 정부 기관 및 경찰 기관들과도 자주 협력한다고 그는 말을 이었다. “아발란시 때도 그랬습니다. 여러 국제 기관과도 손을 잡을 수밖에 없었죠. 독일 연방 경찰, 우크라이나 경찰, 셰도우서버(Shadowserver)라는 비영리 레지스트리, 프라운호퍼(Fraunhofer)라는 민간 업체가 당시에 참여했습니다.”

신기한 건 범죄자들의 ‘협력 수준’이 굉장히 높다는 것이라고 그라소는 강조했다. “솔직히 FBI를 비롯해 방어하는 입장에서는 협력이 그렇게 쉽지만은 않아요. 언어의 문제도 있고, 각 나라마다 행정절차가 다르기도 하고요. 그런데 범죄자들은 정말 잘 뭉치고 잘 흩어집니다. 그래서 목적한 바를 대부분 이루는 것이죠. 실력이 좋아 보이는 것도 협력의 힘입니다. 그만큼 방어자도 뭉쳐야 하는 게 사실입니다.”

2015년 11월 아발란시의 운영자 중 한 명이 몰도바에서 개인 서버를 운영하고 있다는 첩보가 입수됐고, 2016년 1월에는 미국으로 근거지를 옮겼다는 첩보가 들어왔다. “해외 경찰 기관들과의 연계가 있으니 입수가 가능했던 첩보였습니다. 미국 업체들도 정보를 제공해주었고요. 미국 영토 내에 들어온 순간, 저희는 영장을 신청해 서버를 압수하고 조사했습니다. 거기서 200명이 넘는 범죄자 고객들의 이메일 주소를 확보할 수 있었습니다. 또한 3000개가 넘는 도메인이 담긴 목록도 찾아냈고요. 그밖에 각종 채팅 로그를 통해 이들이 어떻게 움직이는지도 알아낼 수 있었죠.”

그렇게 추적한 끝에 네 개의 국가에서 다섯 명의 관련자들을 체포하는 데 성공했다. 그 과정에서 서버들도 압수할 수 있었다고 설명을 마친 그라소는 “결국 민간 업체들의 협력과 국가 기관들 간의 공조만이 사이버 범죄에 대처할 수 있는 길”이라고 강조했다. “사이버 범죄에서 나쁜 놈들은 대부분 다른 나라에 있어요. 범죄를 저지르고 도망을 가는 게 아니라, 도망을 가서 자리를 확보한 후 범죄를 저지르죠. 그래서 이들을 체포하는 게 까다로운 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>