처음에는 가짜 신용카드 만들어 팔던 사기꾼...나중에는 멀웨어 조작까지
낮에는 사업체를 경영...밤에는 범죄단 활동...급기야는 스스로 범죄 조직 만들기도
[보안뉴스 문가용 기자] 나이지리아 출신 사이버 범죄자들의 위협이 갈수록 늘어나고 있다. 이들은 어떤 식으로 범죄 사업을 구성하고 실행할까? 사람들은 어떤 과정을 통하여 범죄단에 가입할까? 보안 업체 체크포인트(Check Point)의 전문가들이 이 비밀을 파헤치는 보고서를 만들어 발표했다.
[이미지 = iclickart]
체크포인트는 디톤(Dton)이라고 하는 이름으로 알려진 나이지리아 사이버 범죄자의 삶을 재구성하는 데 성공했다고 밝혔다. 디톤은 온라인 상에서 빌 헨리(Bill Henry)라는 이름을 사용하고 있으며, 이 이름으로 수많은 사람들을 속여 왔다. “이 인물은 낮에는 디톤이라는 이름으로 사업체를 경영하고, 밤에는 빌 헨리가 되어 사이버 범죄 세계에서 활동했습니다. 투잡이라면 투잡이고, 이중 생활이라면 이중 생활을 한 것입니다.”
디톤은 2013년부터 2020년까지 사이버 범죄 사업을 운영해왔는데, 처음은 굉장히 소박(?)했다. 간단한 신용카드 사기를 위주로 활동을 시작했던 것이다. 그러면서 점점 대범해져서 이메일을 통해 멀웨어를 퍼트리고, 이를 통해 원격에서 피해자의 시스템에 접근하는 방식까지 사용하게 됐다. 크리덴셜도 훔치고 개인정보도 훔쳤다.
디톤의 첫 번째 사이버 범죄 사업은 누군가 훔쳐낸 신용카드 정보를 사들이는 것에서부터 시작됐다. 구매처는 페럼 샵(Ferrum Shop)이라는 온라인 암시장이었다. 약 250만 개의 신용카드 정보를 구매했고, 이를 가지고 가짜 카드를 만들어 하나에 550달러 꼴로 되팔았다. 이를 통해 100만 달러 단위의 수익을 올렸다. ‘투잡’으로서는 꽤나 큰 금액이었다.
하지만 디톤은 여기에 만족하지 않았다. 카드 정보를 거래하는 페럼 샵과의 관계도 안정적이지 않았다. 페럼 샵에 내는 돈이 지나치게 많았고, 심지어 돈을 내고도 아무런 물건을 받지 못하는 때도 있었다. 디톤은 그런 점에 불만을 품고 있다가, 범죄 사업을 확장시켰다. “진정한 사이버 범죄자들은 직접 크리덴셜이라는 보물을 캐서 사용한다는 걸 디톤도 알게 되었습니다. 그 싱싱하고 어디에도 없는 진귀한 보석들을 자기도 직접 가져가고 싶었던 것이죠.”
그래서 디톤은 리드(lead)라는 것을 사들이기 시작했다. 공격 대상이 될 만한 이메일 주소들을 대량으로 묶어둔 것을 리드(lead)라고 한다. 그리고 이 이메일들에 직접 스팸 공격을 실시해 자신만의 크리덴셜을 확보하기 시작했다. 그러더니 정보 탈취형, 키로거, 크립터 등 멀웨어까지 뿌려댔다. 사용자들이 크리덴셜을 입력하거나 링크를 클릭하도록 하기 위해 별별 수단을 동원했다.
여기서부터 그는 사이버 범죄자들이 득실거리는 본격 지하 암시장에 출입하기 시작했다. 직접 여러 종류의 멀웨어를 구매해 실험성 캠페인을 진행하기도 했다. 키로거를 예로 들면, 어스파이어로거(AspireLogger), 나노코어(Nanocore), 오리진로거(OriginLogger) 등을 직접 구매해 실험했다고 한다.
체크포인트는 이번 보고서를 통해 “디톤은 현재 일상적이고 평범한 모습을 한 이메일에 자신의 조직이 직접 조작한 멀웨어를 첨부파일 형태로 붙여서 전송하는 방법까지 동원하고 있다”고 경고했다. “신용카드를 허위로 만들어 팔던 자가, 피싱 이메일을 통해 사용자가 크리덴셜을 입력하라고 꼬드겨 훔쳐내더니, 이제는 멀웨어를 써서 사용자가 거의 아무런 동작을 하지 않아도 크리데셜을 뺏어내는 데까지 이른 것입니다.”
사이버 범죄자들이 벌이는 사업은 양지에서 행해지는 일반 기업들의 사업 행위와 여러 면에서 닮았다고 체크포인트는 강조했다. “디톤 역시 동업자들이나 파트너들을 두고 일을 했고, 한 때는 상관과 같은 자에게 보고를 해야 하기도 했습니다. 그것 때문에 스트레스도 받고, 같이 사이버 범죄 사업을 벌이는 동료나 직원들 때문에 골치 아파 하기도 했습니다.”
견디다 못한 디톤은 자신이 사장이 되기로 했다. 멀웨어도 직접 구매할 정도가 되었으니, 사람만 고용하면 될 일이었다. 실제로 그는 멀웨어를 사고, 자신이 고용한 전문가를 통해 이를 개조했다. 그런 후 직접 캠페인을 벌였다. 심지어 해당 멀웨어의 원본을 최초로 만든 개발자를 거꾸로 침해하기도 했다.
그러다가 디톤은 자신의 멀웨어를 패킹해주는 서비스 제공자와 온라인 상에서 말다툼을 크게 벌이기도 했다. 그런데 그것이 암시장에서 활동하는 개발자들 거의 전체를 화나게 만들었고, 그 때문에 그는 범죄 사업의 기반을 잃게 됐다고 한다.
체크포인트가 이 인물의 ‘범죄 사업 일대기’를 보고서로 발표한 것은 왜일까? “IT 기술을 잘 갖추지도 못한 자가 얼마든지 사이버 범죄를 대단위로 저지를 수 있다는 것을 알려주기 위해서입니다. 천재적으로 컴퓨터를 다룰 줄 아는 사람만 사이버 범죄를 일으키는 게 아닙니다. 마음만 먹으면 거의 아무나 일반 사용자들을 피해자들로 만들 수 있습니다.”
그러면서 체크포인트는 “우리가 너무 쉽게 당해준다는 뜻도 된다”고 말한다. “친구가 보낸 것처럼 보이는 이메일이라고 확인도 없이 링크를 클릭하고 첨부파일을 열어보는 행위가 멈추질 않습니다. 조건이 이상할 정도로 좋아도 의심하기 보다는 탄성을 지르며 ‘대박’을 외치고요. 그런 우리의 안일한 면모를 익스플로잇 하는 것이 디톤과 같은 비기술 범죄자들입니다.”
3줄 요약
1. 사이버 범죄자들이 자라나는 땅 나이지리아...한 범죄자 추적 성공.
2. 낮에는 정상적인 사업가, 밤에는 사이버 범죄 공간에서의 사업가.
3. 기술적인 배경 없어도 멀웨어 동반한 캠페인 벌일 수 있었던 건, 우리가 너무 잘 당해주기 때문.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
낮에는 사업체를 경영...밤에는 범죄단 활동...급기야는 스스로 범죄 조직 만들기도
[보안뉴스 문가용 기자] 나이지리아 출신 사이버 범죄자들의 위협이 갈수록 늘어나고 있다. 이들은 어떤 식으로 범죄 사업을 구성하고 실행할까? 사람들은 어떤 과정을 통하여 범죄단에 가입할까? 보안 업체 체크포인트(Check Point)의 전문가들이 이 비밀을 파헤치는 보고서를 만들어 발표했다.
[이미지 = iclickart]
체크포인트는 디톤(Dton)이라고 하는 이름으로 알려진 나이지리아 사이버 범죄자의 삶을 재구성하는 데 성공했다고 밝혔다. 디톤은 온라인 상에서 빌 헨리(Bill Henry)라는 이름을 사용하고 있으며, 이 이름으로 수많은 사람들을 속여 왔다. “이 인물은 낮에는 디톤이라는 이름으로 사업체를 경영하고, 밤에는 빌 헨리가 되어 사이버 범죄 세계에서 활동했습니다. 투잡이라면 투잡이고, 이중 생활이라면 이중 생활을 한 것입니다.”
디톤은 2013년부터 2020년까지 사이버 범죄 사업을 운영해왔는데, 처음은 굉장히 소박(?)했다. 간단한 신용카드 사기를 위주로 활동을 시작했던 것이다. 그러면서 점점 대범해져서 이메일을 통해 멀웨어를 퍼트리고, 이를 통해 원격에서 피해자의 시스템에 접근하는 방식까지 사용하게 됐다. 크리덴셜도 훔치고 개인정보도 훔쳤다.
디톤의 첫 번째 사이버 범죄 사업은 누군가 훔쳐낸 신용카드 정보를 사들이는 것에서부터 시작됐다. 구매처는 페럼 샵(Ferrum Shop)이라는 온라인 암시장이었다. 약 250만 개의 신용카드 정보를 구매했고, 이를 가지고 가짜 카드를 만들어 하나에 550달러 꼴로 되팔았다. 이를 통해 100만 달러 단위의 수익을 올렸다. ‘투잡’으로서는 꽤나 큰 금액이었다.
하지만 디톤은 여기에 만족하지 않았다. 카드 정보를 거래하는 페럼 샵과의 관계도 안정적이지 않았다. 페럼 샵에 내는 돈이 지나치게 많았고, 심지어 돈을 내고도 아무런 물건을 받지 못하는 때도 있었다. 디톤은 그런 점에 불만을 품고 있다가, 범죄 사업을 확장시켰다. “진정한 사이버 범죄자들은 직접 크리덴셜이라는 보물을 캐서 사용한다는 걸 디톤도 알게 되었습니다. 그 싱싱하고 어디에도 없는 진귀한 보석들을 자기도 직접 가져가고 싶었던 것이죠.”
그래서 디톤은 리드(lead)라는 것을 사들이기 시작했다. 공격 대상이 될 만한 이메일 주소들을 대량으로 묶어둔 것을 리드(lead)라고 한다. 그리고 이 이메일들에 직접 스팸 공격을 실시해 자신만의 크리덴셜을 확보하기 시작했다. 그러더니 정보 탈취형, 키로거, 크립터 등 멀웨어까지 뿌려댔다. 사용자들이 크리덴셜을 입력하거나 링크를 클릭하도록 하기 위해 별별 수단을 동원했다.
여기서부터 그는 사이버 범죄자들이 득실거리는 본격 지하 암시장에 출입하기 시작했다. 직접 여러 종류의 멀웨어를 구매해 실험성 캠페인을 진행하기도 했다. 키로거를 예로 들면, 어스파이어로거(AspireLogger), 나노코어(Nanocore), 오리진로거(OriginLogger) 등을 직접 구매해 실험했다고 한다.
체크포인트는 이번 보고서를 통해 “디톤은 현재 일상적이고 평범한 모습을 한 이메일에 자신의 조직이 직접 조작한 멀웨어를 첨부파일 형태로 붙여서 전송하는 방법까지 동원하고 있다”고 경고했다. “신용카드를 허위로 만들어 팔던 자가, 피싱 이메일을 통해 사용자가 크리덴셜을 입력하라고 꼬드겨 훔쳐내더니, 이제는 멀웨어를 써서 사용자가 거의 아무런 동작을 하지 않아도 크리데셜을 뺏어내는 데까지 이른 것입니다.”
사이버 범죄자들이 벌이는 사업은 양지에서 행해지는 일반 기업들의 사업 행위와 여러 면에서 닮았다고 체크포인트는 강조했다. “디톤 역시 동업자들이나 파트너들을 두고 일을 했고, 한 때는 상관과 같은 자에게 보고를 해야 하기도 했습니다. 그것 때문에 스트레스도 받고, 같이 사이버 범죄 사업을 벌이는 동료나 직원들 때문에 골치 아파 하기도 했습니다.”
견디다 못한 디톤은 자신이 사장이 되기로 했다. 멀웨어도 직접 구매할 정도가 되었으니, 사람만 고용하면 될 일이었다. 실제로 그는 멀웨어를 사고, 자신이 고용한 전문가를 통해 이를 개조했다. 그런 후 직접 캠페인을 벌였다. 심지어 해당 멀웨어의 원본을 최초로 만든 개발자를 거꾸로 침해하기도 했다.
그러다가 디톤은 자신의 멀웨어를 패킹해주는 서비스 제공자와 온라인 상에서 말다툼을 크게 벌이기도 했다. 그런데 그것이 암시장에서 활동하는 개발자들 거의 전체를 화나게 만들었고, 그 때문에 그는 범죄 사업의 기반을 잃게 됐다고 한다.
체크포인트가 이 인물의 ‘범죄 사업 일대기’를 보고서로 발표한 것은 왜일까? “IT 기술을 잘 갖추지도 못한 자가 얼마든지 사이버 범죄를 대단위로 저지를 수 있다는 것을 알려주기 위해서입니다. 천재적으로 컴퓨터를 다룰 줄 아는 사람만 사이버 범죄를 일으키는 게 아닙니다. 마음만 먹으면 거의 아무나 일반 사용자들을 피해자들로 만들 수 있습니다.”
그러면서 체크포인트는 “우리가 너무 쉽게 당해준다는 뜻도 된다”고 말한다. “친구가 보낸 것처럼 보이는 이메일이라고 확인도 없이 링크를 클릭하고 첨부파일을 열어보는 행위가 멈추질 않습니다. 조건이 이상할 정도로 좋아도 의심하기 보다는 탄성을 지르며 ‘대박’을 외치고요. 그런 우리의 안일한 면모를 익스플로잇 하는 것이 디톤과 같은 비기술 범죄자들입니다.”
3줄 요약
1. 사이버 범죄자들이 자라나는 땅 나이지리아...한 범죄자 추적 성공.
2. 낮에는 정상적인 사업가, 밤에는 사이버 범죄 공간에서의 사업가.
3. 기술적인 배경 없어도 멀웨어 동반한 캠페인 벌일 수 있었던 건, 우리가 너무 잘 당해주기 때문.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
