랜섬웨어, 디도스, 신상털기... 협박과 조합해 효과적인 이익 창출
DD4BC, 아르마다 콜렉티브가 현재 사이버 협박 범죄의 양대산맥

[보안뉴스 문가용] 사이버 범죄가 점점 ‘협박’의 형태를 가져가고 있다. 디도스이든, 신상털기든 랜섬웨어든, 결국 상대를 협박해 현금을 지불하게끔 만드는 것이 목표가 된다. 사이버 범죄가 이렇게 변한 것에는 여러 가지 요인이 있는데, 리코디드 퓨처(Recorded Future)는 그 중 하나가 비트코인이라고 주장한다.



“비트코인이 나쁜 사람들을 더 많이 이쪽 계통으로 끌어들였다고 봅니다.” 리코디드 퓨처의 엔지니어인 타일러 브래드쇼(Tyler Bradshaw)가 주장한다. 비트코인의 익명성이 범죄자들에게 더 유용하게 쓰인다는 건 두 말할 필요도 없고 말이다.

랜섬웨어 범죄자들이야 어차피 협박을 통한 금전취득 자체가 공격의 본질이요 목표였다. 그러나 이들 사이에서도 변화는 있었다. 처음에는 개인을 표적으로 삼고 1~2비트코인을 요구하는 게 고작이었다. 그러나 지금은 기업이나 웹 사이트 전체를 통째로 볼모잡고 협박을 해 훨씬 더 큰 액수를 요구한다.

그런 것에 착안하여 디도스 공격 기술을 가진 자들이 이 판에 끼어들기 시작했다. 작년 DD4BC라는 해킹 단체가 등장한 것부터가 시작이었다. DD4BC는 기업의 네트워크에 대규모 디도스 공격을 감행했다. 약 400~500Gbps에 달하는 공격도 포착된 적이 있다. 하지만 처음부터 이런 건 아니다. 가볍게 10~20Gbps 정도의 공격부터 시작한다. 그러고 나서는 어디어디로 어떻게 돈을 내라고 경고 메시지를 날리고, 돈이 입금되면 공격을 멈춘다. DD4BC가 작년에 이런 방법으로 공격한 기업은 140개에 달한다.

최근 아카마이(Akamai)에서 발간한 보고서에 의하면 DD4BC가 처음 노린 건 온라인 게임 업체와 온라인 화폐 교환소였다. 수사기관에 도움을 요청하지 않을 것 같았기 때문이라고 아카마이는 분석했다. 온라인 게이밍 업체와 화폐 교환소에서 금융 서비스 기업으로 발을 넓힌 이들은 일반 기업들에게까지 손을 뻗쳐 ‘공개적인 망신을 당하고 싶지 않으면’이라는 협박 메시지를 사용하기 시작했다.

이 단계에 이르러서 DD4BC가 요구하기 시작한 금액은 10 비트코인에서 200 비트코인에 이르렀다. 이는 각각 3940 달러와 78788 달러에 해당하는 금액이다. DD4BC는 처음엔 낮은 액수로 시작해 피해자가 돈을 내지 않을 경우 요구 금액을 조금씩 늘려가는 수법을 취하고 있다.

DD4BC가 으름장을 놓는 것처럼 400~500Gbps의 공격을 할 수 있을지는 아직 의문인 상태로 남아있다. 아카마이가 여태까지 본 가장 큰 공격은 56Gbps가 고작이었다. 다만 이 정도만 해도 대부분의 피해자들이 포기하고 돈을 냈다는 건, 그 자체로도 시사하는 바가 있다.

아카마이는 해당 보고서에서 “모방범죄가 생겨날 것으로 보인다”고 예견한 바 있다. 그리고 이는 리코디드 퓨처의 보고서에 의해 ‘확인’까지 되었다. 특히 아르마다 콜렉티브(Armada Collective)라는 새로운 강자가 출연하면서 디도스 공격을 통한 협박 범죄를 저지르는 범죄의 양강구도가 완성되었다.

아르마 콜렉티브에게 당한 수많은 기업들 중에 프로톤메일(ProtonMail)이 있다. 암호화된 이메일을 제공하는 업체로, 아르마 콜렉티브의 점거와 협박 후 돈을 지불했음에도 불구하고 공격은 멈추지 않았다. 해당 사건을 수사한 리코디드 퓨쳐는 “(지불이 끝난 후 이어진 두 번째 공격 당시) ISP에까지 가해진 공격을 합하면 100Gbps가 넘는 어마어마한 공격이었다”며 “주요 데이터센터뿐 아니라 취리히, 프랑크푸르트 등 ISP의 노드가 있는 주요 지역의 라우터들도 전부 공격을 받았다”고 전한다. 프로톤메일이 독자적으로 발표한 내용에 따르면 이는 국가를 배후에 업은 자들이 할 수 있는 공격이거나 그에 준하는 수준이었다고 한다.

수상한 건 아르마다 콜렉티브도 이 두 번째 공격 사실을 부인하고 있다는 것이다. 심지어 비트코인을 프로톤메일에 돌려주기까지 했다. 돈과 함께 아르마다가 전달한 메시지는 다음과 같다. “프로톤메일의 폐쇄를 원하는, 우리보다 거대한 힘을 가진 누군가가 우리의 공격을 악용했다. 우리에겐 이렇게까지 공격할 능력이 없다. 심지어 비슷하지도 않다.”

지난 주에는 그리스 은행 세 곳에 디도스 공격이 이어졌다는 사실이 보도되었다. 역시 아르마다 콜렉티브가 물망에 올랐다. 당시 공격자들이 요구한 금액은 은행당 2만 비트코인으로 7백85만 달러에 해당하는 양이었다. 브래드쇼는 이 사건에 대해 “당시 아르마다가 아닐 수도 있다는 생각이 들었다”고 밝혔다. “요구한 금액의 양이 터무니없이 높았거든요. 아르마다가 여태까지 이렇게 높은 금액을 요구한 적은 없습니다. 게다가 아르마다는 경찰과 협조하는 걸 껄끄러워하는 곳만 노렸는데요, 갑자기 은행을 노렸다는 것도 이상합니다.”

아르마다의 주장과 브래드쇼의 의심이 사실로 드러난다면, 문제는 가지를 치고 뻗어나간다. 왜 다른 공격자가 한 번 공격했던 곳을 다시 공격할까? “가장 쉽게 생각해볼 수 있는 가능성은, 누군가 미리 다 길을 만든 곳을 공격하는 게 활로를 새로 뚫는 것보다 훨씬 쉽다는 것입니다. 또한 이미 한번 공격으로 공격자에 대한 ‘선입견’이 만들어진 상태라, 의심받을 확률도 확 낮아지죠.”

사이버 협박이 증가하고는 있지만 매번 성공하고 있는 건 아니다. 돈을 낼만한 사람에게 알맞은 금액을 요구하는 게 중요한데, 이런 균형을 맞추기는 공격자들 입장에서도 까다로운 것. “그리스 은행은 결국 협박에 응하지 않았습니다. 세 은행 다 돈을 지불하지 않은 것이죠. 또한 UAE에 있는 은행 세 곳도 최근 해커 부바(Hacker Buba)라는 곳으로부터 비슷한 공격을 받았는데, 돈을 내지 않았다고 합니다.”

사이버 협박 범죄에 응하지 않는 사례가 늘면 늘수록 제풀에 수그러들던지 더 악독해지던지 둘 중 하나의 길을 갈 것으로 보인다. “실제 해커 부바는 UAE의 은행들이 요구사항을 들어주지 않자, 가지고 있던 고객들의 개인정보를 전부 암시장에 유출시켜 버렸습니다. 보복성 유출이었죠. 앞으로도 사이버 협박 범죄는 계속 변할 것입니다.”



Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>