• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중동과 북아프리카의 지하 시장, 해커 육성되기 딱 좋은 환경 2017.10.11

종교의 영향력 강해... 가입하기 까다롭지만 통과하면 무료 툴 제공
다른 지역 암시장과는 차별된 거래 행태...이념과 신념에 기반한 듯

[보안뉴스 문가용 기자] 중동과 북아프리카에서 활동하고 있는 사이버 범죄자들은 멀웨어 및 공격 툴 구하기가 무척 쉽다는 경고성 발표가 있었다. 보안 업체 트렌드 마이크로(Trend Micro)가 이 지역의 암시장을 돌아다녀본 결과다.

[이미지 = iclickart]


그러나 이러한 암시장에 진입하기가 쉬운 건 아니다. 인증 과정은 물론 참가비 제도, 모국어 수준의 아랍어 구사 능력 확인 절차도 있어 중동이나 북아프리카 지역에 사는 자가 아니라면 정말 까다롭다. 하지만 이런 모든 과정을 통과했다면 그 상으로 무료 공격 툴을 상당 수 받을 수 있게 된다. 시작부터 SQL 인젝션 툴, 키로거, 크립터, 매뉴얼 등을 제공받을 수 있다.

트렌드 마이크로는 “여기서도 종교가 강한 영향력을 발휘하고 있다는 걸 느낄 수 있다는 게 가장 흥미로웠다”며 “거래 방식이나 판매자-구매자 사이의 상호관계에서도 종교성이 느껴진다”고 밝혔다. 트렌드 마이크로의 수석 사이버 보안 책임자인 에드 카브레라(Ed Cabrera)는 “이는 상당히 의미 있는 발견”이라고 말한다.

“중동과 북아프리카는 사이버 범죄 측면에서는 초기 단계에 있는 곳입니다. 그런데 이렇게 같은 종교로 묶이다보니 공격자들이 연합전선을 펼칠 수 있게 됩니다. 그래서 여태까지는 디페이싱 공격이나 디도스 공격에 머물러 있었던 이 지역 해커들이 더 강력한 위협으로 떠오르고 있습니다.”

또 하나 주목해야 할 것은 여기 암시장에서 활동하는 해킹 범죄자들과 러시아 암시장 출신들이 교류하고 있다는 사실이다. 주로 러시아 쪽에서 중동과 북아프리카 시장으로부터 멀웨어 코더들을 고용하는 형태로 둘의 관계는 형성된다. 트렌드 마이크로 측은 분석 중에 러시아와 중국의 지하 포럼에 대한 광고물들을 여러 번 접했다고 말했다.

트렌드 마이크로는 중동과 북아프리카 지역의 암시장을 작년 7월부터 12월까지 연구했다. 어떤 툴들이 주로 거래되는지, 가격은 어느 정도 수준인지, 판매자와 구매자는 어떤 식으로 교류하는지 등을 집중적으로 살폈다. 그러면서 다른 지역의 암시장에 비해 다른 점과 같은 점을 여럿 발견할 수 있었다.

“일단 여기서 거래되는 물건 자체는 다른 지역의 시장에서 사고 팔리는 것들과 크게 다르지 않습니다. 신용카드 정보와 크리덴셜 정보, 멀웨어, 여권이나 면허증 스캔된 것 등 도난당한 아이덴티티 정보 등입니다. 멀웨어 공격을 쉽게 해주는 DIY 키트들도 있었고요.” 카브레라는 “기술적인 측면에서는 다른 시장과의 차이를 느낄 수 없었다”며 “오히려 사회적인 면에서 차이가 컸다”고 설명을 추가했다.

“러시아와 중국의 암시장은 ‘이윤 남기기’가 가장 큰 동기이자 원동력입니다. 하지만 중동/북아프리카 시장에선 강력한 유대감이 느껴지고, 서로가 가진 것과 아는 것을 활발히 공유하려는 분위기입니다. 형제애랄까요. 그것이 이 시장을 정의하는 단어입니다.” 그러니 판매자와 구매자 모두 같은 이념과 신념을 가지고 있는 것처럼 보이는 건 당연한 일이다. “까다로운 절차를 거쳐 ‘동지’인 것이 확인되면 당연히 같은 동기로 움직여줄 것을 기대하니까 각종 도구를 무료로 제공하는 것이죠.”

사이버 공격의 기획부터 실행까지 머리를 맞대고 논의하기도 한다. 그것이 그리 대단치 않은, 웹 디페이스 공격이나 DoS 공격이라고 해도 말이다. “물론 다른 지역 포럼에서도 이러한 공유 문화는 존재합니다. 하지만 대부분 돈 때문에 하고, 받은 만큼만 협력하죠. 여기서처럼 서로가 깊이 관여하고 적극 참여하지는 않아요.” 트렌드 마이크로는 “특이하게도 중동과 북아프리카 암시장에는 무기나 마약 거래는 없었다”고 설명한다. 이런 류의 거래를 원하는 자들은 북미 쪽 암시장으로 넘어가거나 안내됐다.

이런 ‘유대감’으로 설명될 수 있는 또 다른 특징은 멀웨어 및 해킹 툴들의 가격과 거래 행태다. 어떤 아이템의 가격은 다른 암시장의 그것과 비교했을 때 꽤나 높은 편이다. “북미 시장에서는 1~4달러 하는 키로거가 여기선 19달러합니다. 그러나 서로들 적극 공유하려는 분위기 때문에 이 가격 그대로 거래되지는 않아요. 돈 이상의 무언가로 이들이 뭉쳐 있기 때문에 나타나는 현상입니다.”

반대로 다른 시장에서는 꽤나 높은 가격의 아이템이 여기서는 무료로 제공되기도 한다. “예를 들어 SCADA 시스템의 포트 번호나 워너크라이 랜섬웨어 샘플은 다른 지역 시장에서 큰 돈을 지불해야 하는데, 여기서는 50달러 수준에서 판매됩니다.”

카브레라는 “이러한 분위기는 어린 해커들이 양육받기 딱 좋기 때문에 위험할 수 있다”고 이번 연구 결과의 의미를 되짚는다. “지금 세대들이 교류하면서 얻어낸 지식들을 그대로 전수해줄 수 있게 되죠. 이는 예전 북미와 러시아 지역의 암시장에서도 존재했던 분위기입니다. 그리고 지금 그 시장에서는 다양한 해킹 기술들이 나오고 있죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>