선진국 범죄 포럼에서 개발도상국 범죄 포럼으로 기술, 노하우 전파
날로 번성하는 다크웹, 돈이 몰리는 곳에 사람들 몰려
[보안뉴스 문가용 기자] 보안 전문업체인 플래시포인트(Flashpoint)의 분석가들은 최근 러시아의 해킹 포럼을 분석하다가 플로키봇(flokibot)이라는 인물에 주목하기 시작했다. 플로키봇은 자기의 아이디를 그대로 딴 플로키봇(Floki Bot)이라는 트로이목마를 개발했기 때문이다.
.jpg)
사실 플로키봇 자체는 제우스(ZeuS)의 소스코드를 거의 그대로 가져다 쓴 것일뿐이라 크게 눈에 띌 것은 아니었다. 하지만 제우스가 금융 산업 및 다양한 업체들을 노린 것과 달리 플로키봇은 POS 시스템을 노렸다. 플로키봇이 제우스의 소스코드를 살짝 바꿔버렸기 때문이다. 이 사실 자체가 보안 분석가들의 시선을 끈 것이다. 범죄자들 사이에서 공조가 유행처럼 번지고 있다는 것을 증명하는 사례였기 때문이다.
물론 범죄자들이 같은 포럼에서 활동한다고 서로 의기투합을 하거나 도원결의를 하는 건 아니다. 여기엔 ‘중매쟁이’들이 있다. 플래시포인트는 이런 역할을 하는 사람들을 커넥터(connector)라고 부른다. “커넥터들은 딥웹과 다크웹에서 범죄자나 조직들의 다리를 놔주는 개인 단위의 행위자들로 파악이 되며, 언어의 장벽에 부딪혔을 때 해결책이 되어주거나 중요한 정보나 멀웨어, 툴 등을 대신 수입해 다른 커뮤니티에 전파하기도 합니다.”
이런 커넥터들은 특히나 사이버 범죄의 선진 문물을 브라질 지하시장과 같이 이제 막 시작하거나 기술력이 낮은 곳으로 활발히 전파하고 있어 문제가 되고 있다. 보통은 러시아의 포럼들이나 영어를 구사하는 자들이 모인 커뮤니티들에서 ‘선진 문물’들이 나오고 있고, 커넥터들은 각종 번역 툴들을 활용하여 이를 전파하고 있다. 대부분 러시아나 영어를 모국어로 하고 있지는 않고 있으며 특히 포르투갈어 사용자가 많다. 게다가 IP 주소까지 대부분 브라질이고 피해자들 역시 브라질에 대부분 위치하고 있어 플로키봇의 제작자인 플로키봇이 브라질인이라는 가설이 유력해지고 있다.
플래시포인트는 “커넥터들의 출현은 보안 업계가 주목해야만 하는 유행”이라고 주장한다. 단순히 플로키봇을 하나만 보고 예언자 행세를 하는 게 아니라, 여러 다크웹 포럼들에서 발생하고 있는 현상과 사용자 인구를 분석해서 나온 결과다. “현재 오픈소스 학습자료 및 번역 자료가 상당히 넘쳐나고 있습니다. 게다가 멀웨어의 전파 흐름이 선진국에서 개발도상국으로 거의 일정하기도 합니다.”
사이버 보안 담당자들에게 있어 커넥터들의 출현은 그리 반길만한 소식이 아니다. 이유는 여러 가지다. 1) 커넥터들 때문에 고급 멀웨어 공격이 증가하고 있다. 특히 고급 멀웨어와 거의 나타나본 적 없는 지역도 예외가 아닌 것이 문제다. 2) 커넥터들은 국경선을 넘나드는 각종 사기 행각들의 수명을 길게 만든다. 3) 커넥터들은 악성 내부자가 되기도 해 여러 조직들을 직접 공격하기도 한다.
각종 해킹 사기 범죄는 그 자체로 이미 구식이 되어버린 작품이다. 하지만 수익성이 워낙 좋아 새내기들이나 다른 분야의 범죄자들도 계속해서 새로 배우고자 노력하고 있다. 그래서 이에 대한 ‘배움의 목마름’이 다크웹에 팽배하고 있다고 한다. 커넥터들은 이런 수요에 대한 공급자라고 볼 수 있다. 커넥터들은 배우고자 하는 범죄자들에게 배울 수 있는 기회를 제공할 뿐 아니라, 시너지 작용도 알게 모르게 일으키고 있다.
물론 커넥터들만이 개발도상국 내에서의 범죄자 증가의 요인인 것은 아니다. 빠르게 늘어나고 있는 인터넷 관련 기반 구조들이 없었다면 애초에 사이버 범죄가 일어날 수 없다. 인터넷이 퍼지는 속도가 교육이 확산되는 속도보다 더 빠르므로 인구수의 대부분인 일반 사용자들 역시 빠르게 ‘취약한 공격 대상’이 되어가고 있다. 여기에 이미 선진국에서는 오래전부터 개발되고 널리 사용되고 있는 인터넷 뱅킹이나 온라인 거래까지 빠르게 유입되고 있으니, 사용자들은 더욱 헤매게 되고 범죄자들에게는 기회가 많아지고 있는 형국이다.
많은 국가들에서 사이버 범죄와 관련된 법들을 빠르게 정비해나가고 있다. 하지만 이 역시 이미 인터넷을 오래 전부터 사용해 온 선진 국가들의 이야기다. 개발도상국에 속해 인터넷의 성장 역사와 함께 할 수 없었던 나라들은 아직 기술 문제에 치여 법 문제는 생각조차 못하고 있다. 이러는 동안 범죄자들은 빠르게 새로운 기술들과 발전된 세상을 익혀나갈 것으로 보인다. 첫 단추부터 그들에게 너무나 유리하게 끼워져 있다.
일단 현재 선진국들의 보안 업체들 및 사법 기관들은 이 ‘커넥터’의 존재를 예의주시해야 한다고 플래시포인트는 주장한다. 이들은 수도 늘어나고 있으며 영향력도 막대해지고 있기 때문이다. “사이버 범죄 시장의 성장세가 워낙 가파르기 때문에 사람들이 몰릴 수밖에 없는데, 커넥터들도 이렇게 돈을 쫓아 몰린 사람들임과 동시에 앞으로 올 사람들의 안내자 역할을 할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
날로 번성하는 다크웹, 돈이 몰리는 곳에 사람들 몰려
[보안뉴스 문가용 기자] 보안 전문업체인 플래시포인트(Flashpoint)의 분석가들은 최근 러시아의 해킹 포럼을 분석하다가 플로키봇(flokibot)이라는 인물에 주목하기 시작했다. 플로키봇은 자기의 아이디를 그대로 딴 플로키봇(Floki Bot)이라는 트로이목마를 개발했기 때문이다.
사실 플로키봇 자체는 제우스(ZeuS)의 소스코드를 거의 그대로 가져다 쓴 것일뿐이라 크게 눈에 띌 것은 아니었다. 하지만 제우스가 금융 산업 및 다양한 업체들을 노린 것과 달리 플로키봇은 POS 시스템을 노렸다. 플로키봇이 제우스의 소스코드를 살짝 바꿔버렸기 때문이다. 이 사실 자체가 보안 분석가들의 시선을 끈 것이다. 범죄자들 사이에서 공조가 유행처럼 번지고 있다는 것을 증명하는 사례였기 때문이다.
물론 범죄자들이 같은 포럼에서 활동한다고 서로 의기투합을 하거나 도원결의를 하는 건 아니다. 여기엔 ‘중매쟁이’들이 있다. 플래시포인트는 이런 역할을 하는 사람들을 커넥터(connector)라고 부른다. “커넥터들은 딥웹과 다크웹에서 범죄자나 조직들의 다리를 놔주는 개인 단위의 행위자들로 파악이 되며, 언어의 장벽에 부딪혔을 때 해결책이 되어주거나 중요한 정보나 멀웨어, 툴 등을 대신 수입해 다른 커뮤니티에 전파하기도 합니다.”
이런 커넥터들은 특히나 사이버 범죄의 선진 문물을 브라질 지하시장과 같이 이제 막 시작하거나 기술력이 낮은 곳으로 활발히 전파하고 있어 문제가 되고 있다. 보통은 러시아의 포럼들이나 영어를 구사하는 자들이 모인 커뮤니티들에서 ‘선진 문물’들이 나오고 있고, 커넥터들은 각종 번역 툴들을 활용하여 이를 전파하고 있다. 대부분 러시아나 영어를 모국어로 하고 있지는 않고 있으며 특히 포르투갈어 사용자가 많다. 게다가 IP 주소까지 대부분 브라질이고 피해자들 역시 브라질에 대부분 위치하고 있어 플로키봇의 제작자인 플로키봇이 브라질인이라는 가설이 유력해지고 있다.
플래시포인트는 “커넥터들의 출현은 보안 업계가 주목해야만 하는 유행”이라고 주장한다. 단순히 플로키봇을 하나만 보고 예언자 행세를 하는 게 아니라, 여러 다크웹 포럼들에서 발생하고 있는 현상과 사용자 인구를 분석해서 나온 결과다. “현재 오픈소스 학습자료 및 번역 자료가 상당히 넘쳐나고 있습니다. 게다가 멀웨어의 전파 흐름이 선진국에서 개발도상국으로 거의 일정하기도 합니다.”
사이버 보안 담당자들에게 있어 커넥터들의 출현은 그리 반길만한 소식이 아니다. 이유는 여러 가지다. 1) 커넥터들 때문에 고급 멀웨어 공격이 증가하고 있다. 특히 고급 멀웨어와 거의 나타나본 적 없는 지역도 예외가 아닌 것이 문제다. 2) 커넥터들은 국경선을 넘나드는 각종 사기 행각들의 수명을 길게 만든다. 3) 커넥터들은 악성 내부자가 되기도 해 여러 조직들을 직접 공격하기도 한다.
각종 해킹 사기 범죄는 그 자체로 이미 구식이 되어버린 작품이다. 하지만 수익성이 워낙 좋아 새내기들이나 다른 분야의 범죄자들도 계속해서 새로 배우고자 노력하고 있다. 그래서 이에 대한 ‘배움의 목마름’이 다크웹에 팽배하고 있다고 한다. 커넥터들은 이런 수요에 대한 공급자라고 볼 수 있다. 커넥터들은 배우고자 하는 범죄자들에게 배울 수 있는 기회를 제공할 뿐 아니라, 시너지 작용도 알게 모르게 일으키고 있다.
물론 커넥터들만이 개발도상국 내에서의 범죄자 증가의 요인인 것은 아니다. 빠르게 늘어나고 있는 인터넷 관련 기반 구조들이 없었다면 애초에 사이버 범죄가 일어날 수 없다. 인터넷이 퍼지는 속도가 교육이 확산되는 속도보다 더 빠르므로 인구수의 대부분인 일반 사용자들 역시 빠르게 ‘취약한 공격 대상’이 되어가고 있다. 여기에 이미 선진국에서는 오래전부터 개발되고 널리 사용되고 있는 인터넷 뱅킹이나 온라인 거래까지 빠르게 유입되고 있으니, 사용자들은 더욱 헤매게 되고 범죄자들에게는 기회가 많아지고 있는 형국이다.
많은 국가들에서 사이버 범죄와 관련된 법들을 빠르게 정비해나가고 있다. 하지만 이 역시 이미 인터넷을 오래 전부터 사용해 온 선진 국가들의 이야기다. 개발도상국에 속해 인터넷의 성장 역사와 함께 할 수 없었던 나라들은 아직 기술 문제에 치여 법 문제는 생각조차 못하고 있다. 이러는 동안 범죄자들은 빠르게 새로운 기술들과 발전된 세상을 익혀나갈 것으로 보인다. 첫 단추부터 그들에게 너무나 유리하게 끼워져 있다.
일단 현재 선진국들의 보안 업체들 및 사법 기관들은 이 ‘커넥터’의 존재를 예의주시해야 한다고 플래시포인트는 주장한다. 이들은 수도 늘어나고 있으며 영향력도 막대해지고 있기 때문이다. “사이버 범죄 시장의 성장세가 워낙 가파르기 때문에 사람들이 몰릴 수밖에 없는데, 커넥터들도 이렇게 돈을 쫓아 몰린 사람들임과 동시에 앞으로 올 사람들의 안내자 역할을 할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
