• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

각종 뒷문으로 안내해주는 어둠의 셰르파, 3년 간 150만불 벌어 2020.06.25

2017년부터 시장에서 ‘뒷문 서비스’ 제공한 러시아의 사이버 범죄자, Fxmsp
공개된 수익만 3년 동안 150만 달러...비공개 수익까지 합하면 천문학적 돈일 수도

[보안뉴스 문가용 기자] 악명 높은 러시아의 사이버 범죄자가 3년 동안 150만 달러의 수익을 올렸다고 보안 업체 그룹IB(Group-IB)가 보고서를 통해 공개했다. 이 인물은 세계 각종 기업들의 네트워크에 침투할 수 있도록 돕는, 일종의 ‘셰르파’ 역할을 주로 하고 있다고 한다.

[이미지 = utoimage]


이번 보고서의 주인공은 Fxmsp라는 이름으로 지하 포럼에서 활동 중인 사이버 범죄자로, 2017년부터 ‘기업 네트워크에 접근하도록 해주겠다’는 광고를 내기 시작했다. 그 후 은행, 호텔, 편의시설, 도소매 업체, IT 기업들 등 분야를 막론하고 여러 기업들을 침투하는 데 성공했다.

그런 활동을 3년 동안 지속한 Fxmsp는 130개가 넘는 조직들을 실제로 침해하는 데 성공했으며, 피해 기업은 44개국에 걸쳐 나타나고 있다고 한다. Fxmsp에 당한 기업들 중 포춘 500대 기업에 선정된 곳들도 4군데나 있다고 한다. 정부 기관도 9%에 달한다고 그룹IB는 밝혔다.

그룹IB는 150만불이라는 Fxmsp의 수익을 어떻게 계산했을까? 보고서를 통해 그룹IB는 그가 공개하거나 노출시킨 판매량만으로 추정한 수치가 그 정도 된다고 밝혔다. 하지만 비공개 거래가 빈번하게 일어나는 곳이 다크웹 사이버 범죄 포럼이라, 실제 그의 수익은 더 높을 것이라고 한다. 얼마나 사업 규모가 컸는지 Fxmsp는 2018년부터 영업 관리자를 고용하기도 했다.

Fxmsp가 그룹IB 뿐만 아니라 보안 업계의 관심을 받게 된 건 2019년 컴퓨터 백신 제조사 세 곳의 네트워크를 침해하는 데 성공한 때부터다. 그 전에는 조용히 활동하는 편이었다.

그렇다면 Fxmsp에는 신출귀몰한 침투 능력이 있었던 걸까? 그룹IB는 “그가 사용하는 기술이 너무나 간단하다는 게 오히려 큰일일 수 있다”고 말한다. 보고서를 통해 드러난 Fxmsp의 침투 기술이란 다음과 같다.
1) 스캔을 통해 RDP 포트가 인터넷에 노출된 곳을 찾아낸다.
2) 특히 3389번 포트를 노린다.
3) 브루트포스 공격을 통해 RDP 비밀번호를 알아낸다.
4) 백신과 방화벽을 비활성화시킨다.
5) 나중에 사용할 계정을 추가로 피해자 몰래 만든다.

다음으로 Fxmsp는 미터프리터(Meterpreter)라는 백도어를 심고, 모든 계정으로부터 데이터를 수집하고, 백업 자료에도 백도어를 심었다. 즉, 앞선 행위들로 인해 피해자가 수상한 것을 느끼고 백업을 활용한다고 해도 공격을 계속 할 수 있도록 한 것이다. 그가 침투에 남다른 재능이나 실력을 보이고 있는 게 아니라는 건, 현대 조직들의 IT 구조에 기본적인 결함들이 존재한다는 뜻이라고 그룹IB는 강조한다.

그렇다고 모든 사이버 범죄자들이 간단한 해킹 기술로 큰 수익을 거두는 건 아니다. Fxmsp와 같은 수준의 성공은 드문 일이며, 러시아어로 구축된 사이버 범죄자 지하 시장 역사 상 가장 큰 성공을 거둔 자로 손꼽힌다고 한다. 따라서 그가 하는 행동은 일종의 트렌드가 되고 있으며, 그를 추종하고 따라하려는 새내기들이 생겨난다는 것도 문제라고 그룹IB는 지적했다.

특히 백업에까지 백도어를 심는 사업적 치밀함은 이전에 ‘네트워크 접근 권한’을 판매하던 자들에게서는 없던 것이 성공의 주요 요인으로 꼽히고 있다. 그를 모방하는 자들이 가장 많이 본받는 것 역시 이런 ‘남다른 공격 지속성 확보’ 능력이라고 한다. 해킹 기술이 뛰어나다기 보다 사업적 수완이 남달랐던 것이 Fxmsp라는 것.

또 다른 보안 업체 트렌드 마이크로(Trend Micro) 역시 최근 사이버 범죄 지하 시장에서 ‘서비스형 접근 권한(access-as-a-service)’이라는 아이템이 점점 늘어나고 있다는 내용의 보고서를 발표한 바 있다. 포춘 500대 기업에 선정될 정도로 큰 조직에 접근할 수 있도록 해주는 대가는 보통 1만 달러라고 한다.

3줄 요약
1. 러시아 다크웹에서 첫 손에 꼽히는 ‘성공한 범죄자’, Fxmsp.
2. 공개된 판매 실적만으로 그의 수익을 계산했을 때, 3년 동안 150만 달러.
3. 유명 조직에 접근할 수 있게 해주는 서비스 제공하되, 꼼꼼하게 백도어 심어두는 등 서비스 품질에서 남다른 면모 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>