공격, 불법, 감염과 같은 표현 사용하지 않는 범죄자들...그들에게는 직업일 뿐
[보안뉴스 문가용 기자] 현존하는 안드로이드 뱅킹 봇넷 중 가장 큰 것은 무엇일까? 지오스트(Geost)다. 체코기술대학, 스페인 꾸요대학, 보안 업체 어베스트(Avast)의 연구원들이 2018년 처음 발견했다. 그런데 여기서 운영자들의 채팅 로그까지 발견되는 바람에, 범죄자들의 봇넷 사업이 어떻게 구성되어 있으며, 각 구성원들이 어떤 식으로 움직이는지가 밝혀졌다.
[이미지 = iclickart]
지오스트는 러시아인들을 노리는 대규모 봇넷이다. 피해자만 100만 명이 넘고, 15개의 C&C 서버와 수천 개의 도메인, 수천 개의 악성 안드로이드 애플리케이션 패키지(APK)로 구성되어 있다. 악성 멀웨어를 안드로이드 OS 기반 엔드포인트에 심는 것이 공격 목표이고, 이 멀웨어를 통해 트래픽을 가로채거나 데이터를 수집하는 등의 악성 행위를 실시한다.
지오스트를 처음 발견할 수 있었던 건, 공격자들이 운영에서 약간의 실수를 저질렀기 때문이다. 어베스트의 보안 전문가인 안나 시로코바(Anna Shirokova)는 “일단 공격자들이 프록시에 지나치게 의존하기 시작했다는 것이 첫 번째 실수였다”고 말한다. “프록시가 디폴트 그대로 써도 안전하다고 여겼던 것으로 보입니다. 그걸 통해 보안 전문가들이 자신들을 추적할 수 있다는 걸 전혀 인지하지도, 생각지도 않았던 흔적들이 나타났습니다.” 덕분에 지오스트 운영자 자신들만이 아니라, 지오스트를 이용하던 다른 사이버 범죄자들도 모습을 드러내게 됐다.
여기에 더해 지오스트의 운영자들은 암호화 기능을 충분히 활용하지 않았다. “자기들끼리의 모든 소통을 평문과 HTTP로 했습니다. 그래서 저희가 채팅 로그를 발견했을 때 별 다른 어려움 없이 범죄자들의 콘텐츠를 열람할 수 있었습니다. 비밀번호, 사용자 이름, 위치 정보 등도 모두 고스란히 가져올 수 있었습니다. 여기서 발견된 아이디와 사용자 이름은 다크웹 해킹 포럼에서도 찾아낼 수 있었습니다. 그래서 구성원들을 추적하기가 용이했죠.”
체코키술대학의 세바스찬 가르시아(Sebastian Garcia)는 “범죄자들이 실수를 한 것일 수도 있지만, 그렇게까지 할 필요가 없다고 생각했을 수도 있다”고 말한다. “자신들이 역으로 추적을 당할 것이라고는 아예 생각해보지 않았을 가능성이 높습니다. 게다가 추적을 당한다고 하더라도 자신들이 실제로 잃을 것이 없다고 확신했었겠죠. 실제 사이버 범죄자들 대부분 체포되는 일이 드문 것이 사실입니다.”
문제의 채팅 로그
전문가들이 발견한 채팅 로그는 약 6200개의 글줄로 구성되어 있었다. 2017년 6월부터 2018년 4월까지 나눠진 대화가 기록되어 있었다. 약 20명이 대화에 참여했으며, 이 중 10명 정도가 지오스트 운영진인 것으로 보이며 나머지는 참가자 자격으로 각종 작전에 투입됐다. 대화는 러시아어로 이뤄졌는데, “피해자 대부분이 러시아인인 것을 생각해보면 꽤나 드문 일"이라고 가르시아는 말한다.
또한 이들의 대화는 비밀 대화방에서 이뤄졌으며, 따라서 굉장히 편하게 대화를 진행했다고 한다. “그래서 이 로그가 더 가치 있는 겁니다. 범죄자들은 자신들이 완벽히 안전하다고 믿는 상태에서 이야기를 솔직하고 편안하게 나눈 것으로 보입니다.” 다만 연구원들은 이 로그를 정확히 어떻게 입수했는지 공개하지 않았다.
로그를 통해 연구자들은 다음과 같은 면모를 알게 되었다고 한다.
1) 사이버 범죄 사업이 어떤 식으로 이뤄지는지
2) 범죄자들 사이의 인간 관계는 어떻게 유지되는지
3) 범죄자들이 매일처럼 하는 업무는 무엇인지
4) 범죄를 저지르는 동기는 무엇인지
5) 돈 세탁이 어떤 과정으로 이뤄지는지
6) 중요한 결정은 어떤 절차로 이뤄지는지
7) 범죄자들이 현장에서 느끼는 어려움은 무엇인지
“범죄자들은 하루하루를 피싱 웹사이트 호스팅, C&C 개발, 악성 APK 개발, 가짜 게임 개발 등의 프로젝트를 진행하며 보냅니다. 일반적인 개발 업체와 비슷한 면모가 있기도 합니다. 지오스트 운영자들 역시 수익을 걱정하고, 자신들이 고용한 개발자 및 직원(?)들의 월급을 어떻게, 얼마나 줘야 할지 걱정스럽게 논의하고, 갑자기 생긴 공석을 어떻게 메울지 의논하고 있었습니다. 하지만 사람을 고용하는 문제는 일반 기업체와는 사뭇 다릅니다. 신원을 다 밝히고 계약서를 상호 간에 작성하는 과정이 없기 때문입니다. 직원들은 아무 때나 왔다가 아무 때나 그만두는데, 이게 운영진들에게 적잖은 스트레스가 되는 것으로 보였습니다.”
프로젝트 운영 구조도 일반 기업과 비슷했다. “개발자, 프로젝트 관리자, 자금 관리자, 제반 사항 관리자 등으로 구성되어 있었습니다. 물론 범죄 단체의 경우, 자금 관리자는 불법적으로 번 돈을 세탁하는 일까지 담당하고, 제반 사항 관리자는 트래픽을 구매하거나 판매하는 일을 주로 합니다. 리크루팅 담당자들은 인력을 수급하고, 개발자들은 악성 APK를 준비하며, 디자이너는 피싱용 웹사이트를 만듭니다. 운영진들 중 기술적으로 뛰어난 사람은 없는 것으로 보이며, 일정 수준의 지식을 바탕으로 사람을 그 때 그 때 사서 쓰는 방식을 고수하고 있었습니다.”
구성원들간의 대화는 어떤 말투로 이뤄졌을까? “예의를 깍듯이 지키며 형식을 갖춘 대화도 있었고, 스스럼 없이 진행된 대화도 있었습니다. 따라서 비속어를 자주 사용하는 구성원이 있는가 하면, 일과 관련된 이야기만 사무적으로 하는 구성원도 있었습니다. 하지만 전체적인 말투를 봤을 때 젊은 세대가 대부분인 것으로 보이는 것은 사실입니다. 다만 다크웹 바깥에서도 구성원들이 서로를 알고 지내는지는 확인할 수가 없었습니다. 서로의 활동 지역 위치를 자주 물었는데, 이게 자기들끼리 접선을 하려는 것인지는 분명치 않습니다. 저희는 이들 중 일부가 직접 만나서 지오스트 사업을 구상한 것으로 의심하고 있습니다.”
채팅 로그 분석 중 가장 눈에 띄었던 건 지오스트 운영자들이 자신들의 행위를 전혀 ‘공격’으로 인지하지 못하고 있었다는 것이다. “그들은 정말로 순수하게 자신들이 사업을 하고 있다고 여기고 있었어요. 흔히들 사이버 범죄자들은 우리 같은 사람들을 ‘공격하려는’ 사나운 마음으로 컴퓨터를 두드리고 있다고 생각하는데, 그것과는 거리가 멀었습니다. 우리가 매일 출근하고 일하고 돈을 버는 것과 똑같은 마음가짐이더군요. 사이버 범죄가 아니라 직업 그 자체였습니다.”
그 증거로 자신들이 하는 일을 두고 ‘불법적’이라는 표현을 직접 사용한 사례가 6200줄 중 다섯 번도 되지 않았다고 한다. ‘공격’이라는 표현도 거의 등장하지 않았다. 등장했다고 하더라도 ‘사이버 공격’이 아니라 일상적인 대화 가운데 나오는 말이었다. “마찬가지로 ‘감염’이라든가, ‘훔친다’와 같은 표현도 드물었습니다. 놀라울 정도로 일관적인 사업가 마인드를 보여주고 있었습니다.”
채팅 로그를 통해 연구원들은 운영진의 행위를 크게 세 가지로 나눌 수 있었다.
1) 노골적으로 불법적인 행위(멀웨어 개발, 전화기 감염, 사이버 공격, 탈세 시도 등)
2) 불법성이 확실치 않은 행위(가짜 웹사이트 제작, 서드파티 웹사이트 복제, 고급 유료 SMS 서비스 가입, 트래픽 우회 등)
3) 합법적인 행위(웹사이트 제작, 백엔드 개발 등)
이 조사에 참여했던 연구원들은 이번 주 열리는 블랙햇에서 자신들이 찾아낸 범죄자들의 여러 특징들을 상세하게 공개할 예정이다.
3줄 요약
1. 지오스트라는 역대 최대 규모의 봇넷에서 범죄자 채팅 로그 발견됨.
2. 범죄자들은 철저히 사업가 마인드로 범죄를 저지르고 있었음.
3. 큰 틀에서는 일반 업체와 다를 것 없는 조직 구성. 범죄에 대한 자각도 희박.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>