트래픽이 효율적으로, 그리고 정교하게 원하는 곳으로 흐르게끔 해주는 서비스는 광고 업계에서도 항상 사용하는, 정상적인 사업 아이템이다. 그런데 고객이 광고업체가 아니라 해킹 조직이라면 어떨까? 공격자들이 원하는 피해자들을 알아서 가져다 바쳐주는 서비스가 된다. 그런 일을 하는 거대 네트워크가 발견됐다.

[보안뉴스 문가용 기자] 거대 TDS 운영자의 실체가 드러났다. 단 한 개 TDS 시스템에 7만 개가 넘는 도메인이 연결되어 있었고, 이 대규모 인프라는 각종 사기와 피싱, 멀웨어 유포 공격에 활용되었다. 역대 최대 규모의 공격 인프라가 수면 위로 떠오른 것이라고 할 수 있다.


[이미지 = gettyimagesbank]

이 거대 인프라의 배후에 있는 세력에게는 벡스트리오(VexTrio)라는 이름이 붙었다. 흥미롭게도 아직까지 벡스트리오가 사이버 범죄에 직접 가담한 일은 없는 것으로 보인다. 그렇다고 결백하다고도 할 수 없다. 이들이 운영하는 TDS 네트워크를 통해 많은 사이버 범죄자들이 각종 악성 행위를 저지르고, 이것이 벡스트리오에게는 수익이 되기 때문이다. 방아쇠만 당기지 않았을 뿐, 당길 만한 사람의 손에 총을 쥐어주고 있는 것과 마찬가지다.

벡스트리오는 한 마디로 악성 요소들이 사이버 공간을 사방팔방 질주할 수 있게 해 주는 범죄자들의 고속도로를 제공하는 자라고 할 수 있다. 그 자체로 악성은 아니지만, 그 길 위로 지나다니는 사람들이 범죄자들이라면 길의 존재와 의의에 대해서도 한 번 다시 생각해봐야 한다고 보안 업체 인포블록스(Infoblox)는 오늘 보고서를 통해 제시했다. 인포블록스는 이미 벡스트리오를 “사이버 위협”이라고 보고 있다.

“가장 광범위한 영향을 미치는 사이버 위협이라고 해도 과언이 아닙니다. 단일 위협으로서는 가장 거대하고, 가장 만연하며, 가장 지속성이 뛰어나다고 봅니다. 적어도 저희 고객사들을 위협하는 존재로서는 그렇습니다.” 인포블록스의 첩보 수석 책임자인 르네 버튼(Renée Burton)의 설명이다.

벡스트리오 TDS, 어떻게 범죄에 이바지하나
벡스트리오는 7만 개 이상으로 구성된 도메인을 클러스터로 묶어서 운영하고 있다. 이 도메인은 늘 바뀐다. 이 거대 도메인 클러스터는 60개 이상의 사이버 범죄 조직이 관리하는 각종 악성 자산들과 연결되어 있으며, 이 자산들로부터 발생하는 트래픽을 흡수한다.

여기서 말하는 ‘악성 자산’은 대부분 공격자들이 침해한 워드프레스 사이트들이다. 벡스트리오와 손을 잡은 공격 단체 중 가장 유명한 속골리시(SocGholish)와 클리어페이크(ClearFake)의 경우 취약한 워드프레스 사이트들을 찾아내 악성 자바스크립트를 삽입하는 수법을 주로 사용한다. 이 자바스크립트는 사이트에 누군가 방문하면 발동되면서 브라우저 업데이트를 진행해야 한다는 메시지를 띄운다.

벡스트리오의 TDS 서버들은 브라우저 설정 정보와 캐시에 저장된 데이터(공격 대상의 OS, 위치 등)를 빠르게 분석하고, 이를 바탕으로 트래픽을 걸러낸다. 만약 공격자가 정해둔 조건에 부합하는 트래픽이 탐지되었다면 벡스트리오의 TDS 서버들이 이를 돌려 공격자들이 미리 침해시켜 둔 사이트로 우회 접속시킨다. 그리고 거기서부터 여러 가지 악성 공격이 진행된다.

벡스트리오가 하는 일은 이렇게 요약할 수 있다.
1) 공격자들이 원하는 트래픽을 찾아준다.
2) 그 트래픽을 공격자들이 운영하는 사이트 등 공격의 무대가 되는 곳으로 안내한다.
3) 공격자들이 원하지 않는 트래픽(허니팟, 보안 전문가, 사법 기관 등)을 튕겨낸다.

그럼으로써 이런 효과들을 공격자들은 누리게 된다.
1) 트래픽 부하가 적절하게 배분된다.
2) 사이버 보안 전문가들이나 사법 기관의 트래픽을 덜 염려해도 된다.
3) 공격 행위 자체가 경제적으로 우수해진다.
4) 자기가 잘하는 것에 집중할 수 있다.
5) 마이크로타깃팅을 할 수 있게 된다.

벡스트리오, 어떻게 숨을 수 있었나
엄청난 규모의 공격 인프라를 구성하고 운영 중인 벡스트리오는 그 동안 한 번도 발각된 적이 없었다. 탐지를 회피하기 위한 여러 가지 방법들을 동원하고 있었기 때문이다.
1) 매일 대량의 도메인을 새롭게 생성하는 알고리즘을 운영했다
2) TDS로 트래픽을 우회시킬 때 여러 단계를 거쳐서 진행했다
3) URL 요청 매개변수 이름을 지정할 때, 정상 TDS 네트워크에서 사용하는 추천 링크와 동일하게 만들었다.

그런데다가 벡스트리오는 침해된 웹사이트를 일부 스스로 보유하고 있기도 했다. 만일의 사태, 즉 자신들의 인프라가 마비되었거나 일부 고객이나 파트너 범죄 단체가 체포되는 바람에 자기들에까지 수사망이 좁혀졌을 때 사용하기 위한 ‘백업’ 망인 것으로 분석된다. 언제고 꼬리를 자르고 도망갈 수 있으면서도 사업에는 큰 영향이 없게 준비를 해둔 것이다.

버튼은 “현재 법 체계에서는 벡스트리오처럼 중간자 역할만 하는 애매한 자들을 추적하거나 기소하거나 도메인 등록을 거부할 만한 근거가 부족하다”고 말한다. “엄연히 따지면 이들은 직접적으로 악성 행위를 하지는 않고 있거든요. 단순 배달부였다고 주장하면 아니라고 반박할 수가 없습니다. 그래서 이들에 관한 정보를 캐내기 위해 수사기관을 등에 업고 합법적인 절차를 밟는다는 건 어려운 일입니다. 조사야 할 수 있지만 이들의 죄목과 연결된 정보를 얻어내기가 어렵죠. 빠져나갈 구멍이 많고, 우리에게는 이들을 단죄할 수단이 없습니다.”

그렇다면 이런 자들과는 어떻게 싸워야 할까? 버튼은 “결국 산업 내 플레이어들이 이들에 관해 독립적으로 조사를 실시하고, 그 결과를 적극적으로 공유해야 한다”고 말한다. “기업 하나하나의 입장에서는 기본적인 보안 실천 사항을 지키고, 심층적인 방어벽을 형성하는 것이 정답입니다. 바라기는 도메인 등록을 담당하는 조직들도 이런 단체들에 좀 더 능동적으로 대응했으면 합니다. 레지스트리들도 이제는 보안의 협력 체계 안으로 들어와야 합니다.”

3줄 요약
1. 어쩌면 가장 거대한 공격 인프라 운영자들이 발견됨.
2. 운영자들은 벡스트리오라고 하며, 매일 수만 개의 도메인을 생성해 인프라를 새 것처럼 유지.
3. 직접 공격을 하지는 않기 때문에 체포할 법적 근거가 없음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>