범죄조직 루우우크, 첨단과 전통의 방법 혼용해 수사 난항

\r\n

엄청난 속도로 해킹한 후 현금화...새로운 범죄유형 될까 걱정

\r\n

\r\n

\r\n

\r\n

카스퍼스키랩은 최근 루우우크(Luuuk)라는 이름으로 활동하고 있는 금융사기집단의 존재를 발견했다. 루우우크는 MITB(Man in the Browser) 공격을 통해 최근 일주일 동안 50만 유로를 탈취하는 데 성공한 것으로 밝혀졌다.

\r\n

\r\n

현재까지 카스퍼스키랩은 제우스의 변종이 사용된 것으로 추정하고 있지만 이번 사건에서 중요한 건 멀웨어의 종류가 아니라 범죄행위의 속도다. 엄청나게 빨라진 해킹 및 탈취 행위를 통해 진화하고 있는 해커 문화의 일면을 엿볼 수 있기 때문이다.

\r\n

\r\n

카스퍼스키는 지난 1월 20일 제보를 통해 한 C&C 서버를 발견했다. 당시 그 서버는 일주일 정도만 사용된 상태였다. 하지만 금융정보를 캐내는 트로이목마와 어느 계좌에서 얼마만큼의 돈이 전송됐는지를 보여주는 로그파일의 흔적을 발견할 수 있었다. 놀랍게도 거래 총액은 50만 유로에 달했다. 이 서버를 분석한 전문가들은 해커들이 MITB 방식의 공격을 사용한 것으로 결론내렸다.

\r\n

\r\n

“C&C 서버에서 어떤 멀웨어가 사용되었는지에 대한 정보를 추출할 수는 없었습니다.” 카스퍼스키랩의 수석연구원인 빈센트 디아즈(Vincente Diaz)의 설명이다. “하지만 자기의 흔적을 지우는 기능을 가진 제우스 변종들이 여러 개 존재한다는 걸 감안했을 때 이번 탈취에도 제우스의 변종이 사용된 것으로 예상할 수 있습니다.” 고도의 해킹방법을 통해 웹사이트에 침투한 후 필요한 정보를 캐낸 것 같다는 게 그의 설명이다.

\r\n

\r\n

대부분의 분석가들은 해커들이 계정정보를 탈취한 후 곧바로 로그인을 해 돈을 전송한 것 같다는 의견을 내놓고 있다. 돈은 전부 한 개의 은행에서 인출됐으며 190개의 계좌가 털렸다. 피해액은 계좌당 1,700유로에서부터 39,000유로까지 다양하며 수취인 계좌 역시 여러 개로 분산되어 있었다. 그 돈들은 ATM 기기를 통해 현금화됐다.

\r\n

\r\n

카스퍼스키 측은 “탈취 과정 자체는 보통의 해킹피해 사례와 크기 다르지 않았습니다. 중요한 건 마치 기존의 은행털이범들처럼 운반책들이 미리 짜인 각본대로 움직이며 돈을 세탁했다는 겁니다”라며 “이 운반책 개개인의 거래 한도액도 달라 세탁을 의심하기가 더 힘들었습니다”라고 발표했다.

\r\n

\r\n

그렇다면 이는 어떤 의미를 가지고 있을까? “아마 운반책 각자의 거래 한도액이 달랐다는 건 조직 내에서 개개인에게 부여한 신뢰도가 달랐다는 뜻일 겁니다. 이런 범죄조직 내에서는 끈끈한 신뢰 같은 게 흔치 않습니다. 서로가 서로를 의심하는 게 대부분이죠. 돈을 가지고 도망을 가기도 하고요. 루우우크는 이런 사태를 사전에 방지하고자 했던 것 같습니다.”

\r\n

\r\n

카스퍼스키가 서버를 발견하고 이틀 후, C&C 서버 운영자는 모든 증거물을 깨끗이 지웠다. 하지만 전문가들은 다만 ‘범죄현장’이 바뀌었을 뿐이라고 분석하고 있다. 즉 유사 범죄행위가 또 일어날 가능성이 높다는 것. “이 조직은 활동력이 왕성한 것으로 보입니다. 범죄조직치고 보안도 강력해서 전략도 기동력 있게 바꾸고 있고 발각되었을 때 증거를 지우는 속도도 엄청납니다.”

\r\n

카스퍼스키는 아직도 이번 사거에 대한 조사를 이어가고 있다. 법률 전문 에이전시들도 이에 참여하고 있으며 금융기관도 적잖이 관심을 보이고 있다. 루우우크에 대한 포위망이 점점 좁아지고 있으나 아직도 그 존재는 미궁 속에 남아있다.

\r\n

ⓒDARKReading

\r\n

\r\n

[국제부 문가용 기자(globoan@boannews.com)]

\r\n

\r\n

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>