[보안뉴스 문가용 기자] 사이버 범죄 단체가 마음을 먹으면 어느 선까지 범죄의 규모를 확대시킬 수 있을까? 범죄의 규모를 키우는 데 있어 필요한 것은 범죄자들의 실력 혹은 능력일 뿐일까? 최근 보안 업체 인포블록스(Infoblox)가 비고리시바이퍼(Vigorish Viper)라는 이름의 해킹 범죄 조직을 추적하여 발견한 내용을 70 페이지에 가까운 방대한 분량의 보고서로 정리해 발표했다. 결론부터 말하자면 비교적 간단하다. 스포츠 경기를 가지고 내기를 하는 불법 도박 산업이 해킹 기술자들과 만났을 때 어마어마한 시너지를 낸다는 것이다.
[이미지 = gettyimagesbank]
간단 배경 지식
스포츠 배팅 혹은 스포츠 내기는 전 세계적으로 많은 이들이 참여하는 활동이다. 특정 스포츠 경기를 두고 승패라든가 득점 등 여러 가지 요소를 두고 서로 내기를 걸어 맞추는 사람이 돈을 가져가는 것으로, 일종의 도박이다. 양지에서 행해지기도 하지만 음지에서도 대단히 성행하고 있다. 특히 동남아시아와 중국에서 불법 스포츠 내기에 참여하는 사람들이 많은 것으로 알려져 있다. 전 세계 스포츠 내기 산업의 규모가 1조 7천억 달러에 달하는 것으로 추정된다. 중국인들이 1년에 스포츠 내기에 쓰는 돈은 총 8500억 달러에 달하는 것으로 예상되고 있다.
문제는 중국과 동남아시아 지역에서는 스포츠 내기가 불법으로 규정되어 있다는 것이다. 정보들은 도박과 관련된 규제를 삼엄하게 걸고 있으며, 내기나 도박을 철저하게 근절시키기 위해 백방으로 노력한다. 스포츠 내기를 할 수 있게 해 주는 자들이나 스포츠 내기에 참가한 자들 모두 단속의 대상이 된다. 형량도 꽤나 무거워서 중국의 경우 스포츠 내기를 독려하거나 참여했다가는 최대 10년 징역형까지 받을 수 있다. 그럼에도 중국과 동남아시아의 스포츠 내기 시장은 축소될 기미가 전혀 보이질 않는다. 오히려 성장 중에 있고, 더 많은 사람들이 더 많은 돈을 스포츠 내기에 쓴다. 즉 중국과 동남아시아에서는 지금 이 순간에도 음지의 도박 시장이 거세게 자라나고 있다는 뜻이 된다.
한편 스포츠 리그나 구단을 운영하는 입장에서 자금의 압박을 벗어나기가 쉽지 않다. 최고의 선수들의 몸값은 천문학적으로 치솟는데, 이들은 결국 무형적 가치만을 만들어내기 때문이다. 이들을 통해 구단이 돈을 벌려면 유형적인 뭔가를 만들어내야만 한다. 관람석 티켓을 판매하고, 중계권을 판매하고, 선수의 굿즈를 만들어 판매하고, 선수와 선수를 트레이드 하여 차익을 만드는 등의 방법을 써야 한다. 하지만 관람석이라는 게 물리적 한계가 있고, 날씨에도 영향을 받으며, TV 중계권이라는 것도 선수 여러 명의 연봉을 감당하기에는 모자라다. 심지어 요즘은 TV라는 전통의 매체가 하락세를 걷고 있기도 하다. 굿즈라는 것도 ‘필요’가 아니라 ‘충성도’에 의해서만 소비되는 것이라 수익성이 불확실하다.
그렇기에 어떤 것이든 돈이 될 수 있다면 다 판매하는 게 스포츠 구단들의 현재 모습이다. 어떤 종목이든 선수가 입고 있는 유니폼의 모든 면적이 글씨와 로고로 채워져 가는 게 그 이유다. 모자와 셔츠의 한 뼘이라도 판매해야만 그 높은 연봉들이 감당될까 말까 한 것이다.
그런 상황에서 최근 영국 프리미어 리그의 팀들이 이상한 사이트 주소가 새겨진 유니폼을 선수들에게 입히기 시작했다. 온라인 내기 사이트들이었다. 가슴팍에 누가 봐도 수상한 사이트 주소를 건 채 천문학적 몸값을 가진 선수들이 경기를 하니 논란이 일기 시작했다. 글로벌데이터(GlobalData)가 발표한 바에 따르면 2023~2024 시즌 기간 동안 상위 20개 팀들 중 7개 팀들이 온라인 내기 회사들과 스폰서십을 체결했다고 한다. 스페인, 프랑스, 독일, 이탈리아의 축구 리그에서도 내기 회사들의 존재가 드러나고 있긴 하나 리그 자체에서 내기 회사들로부터 광고를 받지 못하도록 했기 때문에 프리미어리그처럼 노골적인 장면이 나오지는 않는다. 스포츠 내기의 합법성과, 인기 높은 축구 리그의 선수들이 대놓고 불법 도박 사이트를 홍보하는 것의 윤리성은 아직 한창 논란 중에 있다.
수요가 있는 곳에 해커가 있다
아시아에서는 정부들이 눈에 불을 켜고 불법 내기 산업을 탄압하고 있고, 유럽에서는 윤리성 문제까지 불거지고 있지만, 수요가 사라지지는 않고 있다. 내기에 참여하는 중국인들은 늘어나고 있으며, 어떻게 해서든 지갑을 불려야 하는 구단들의 사정은 갈수록 절박해지고 있다. 도박의 중독성과 돈의 필요라는 것은 정부 기관들이 강제적인 금지 조치로 틀어막을 수 있는 게 아니다. 있다 하더라도 한계가 분명하며, 어디선가 틈이 생기기 마련이다.
[이미지 = gettyimagesbank]
그곳을 비고리시바이퍼가 영리하게 치고 들어갔다. 돈이 필요한 구단에게 돈을 주고, 내기의 장소가 필요한 자들에게 시스템을 제공했다. 두 거대한 수요를 연결해주고서 큰 돈을 챙길 수 있었고, 그 돈을 바탕으로 계속해서 정식 구단들과의 파트너십을 확장시키고 있다. 처음에는 영국 프리미어 리그가 주요 표적이었는데, 지금은 유럽 내 여러 축구 리그들 뿐만 아니라 인도의 크리켓 리그에까지 손을 뻗치고 있다. 다만 피해자들은 대부분 중국인 혹은 동남아시아인들로 한정되어 있다. 다른 지역의 스포츠 리그와 선수들은 그저 광고판일 뿐, 아직까지 피해자의 대열에 오르지는 않고 있다.
비고리시바이퍼는 먼저 수많은 도메인을 확보했다. 전부 불법 사업에 쓰일 재료들이었다. 그리고 이 사이트들을 복잡하게 연결시키거나 고립시킴으로써 도메인 간 관계를 추적하기 어렵게 만들었다. 또한 마찬가지로 어마어마한 수의 ‘페이퍼컴퍼니’들을 만들어 등록시키기도 했다. 인포블록스가 추적한 바에 따르면 수많은 가짜 회사와 브랜드, 도메인이 이들의 공격 인프라를 구성하고 있어 그 전모를 다 파악하는 게 불가능할 정도라고 한다. 보고서를 공개하면서도 “우리는 이들의 범죄 규모를 아직 다 이해하지 못하고 있다”고 결론을 맺었다.
왜 이렇게 많은 가짜 회사와 도메인을 운영하는 것일까? 온라인 스포츠 내기를 불법으로 규정한 지역이 많기 때문이다. 스포츠 구단들과 정식 스폰서십을 맺으려면 합법성을 띈 단체가 있어야 한다. 그 합법성을 부여하려면 정식 기업 등록증이 있어야 함은 물론, 수상함을 느낀 누군가가 역으로 추적해서 정체를 알아내는 것도 기술적으로 막아야 한다. 인포블록스에 의하면 비고리시바이퍼는 주로 조세회피처로 잘 알려진 지역들에서 가짜 회사를 등록시켜서 전자의 문제를 해결하고, 복잡한 인프라를 사용함으로써 후자의 문제를 해결했다고 한다. 그래서 영국 프리미어 리그의 팀들의 유니폼에 ‘합법적으로’ 자신들의 불법 도박 사이트 주소를 새길 수 있었다.
어마어마한 수익을 거두고 있는 영국 클럽들
스타 축구 선수들의 어마어마한 연봉을 감당해야 하는 영국 축구 클럽들은 비고리시바이퍼로부터 적잖은 지원을 받는 것으로 보인다. 가장 인기가 많은 팀 중 하나인 맨체스터유나이티드(Manchester United)의 경우 350만 달러를 매년 비고리시바이퍼로부터 받은 것으로 알려져 있다. 이것으로 모든 돈 문제가 해결된 건 아니지만, 하나의 추가 수익 창구로서는 만족할 만한 수준이다. 물론 비고리시바이퍼가 축구 선수 유니폼 흉부에 로고나 사이트 주소를 새긴 것 하나만으로 이 정도 값을 지불한 것은 아니었다. 홈 경기장 전체에 광고가 깔리기도 했고, TV 중계시 화면 곳곳에 사이트 주소가 나타나도록 기술적인 조치를 취하기도 했다.
[이미지 = gettyimagesbank]
여기서 한 가지 짚고 넘어가야 할 것은 비고리시바이퍼가 ‘비고리시바이퍼’라는 이름으로 구단들과 계약을 맺은 건 아니라는 것이다. 앞서 말했다시피 비고리시바이퍼는 전면에 내세울 기업들을 여럿 만들어 구단들과 접촉했다. 주로 스포츠 내기 플랫폼 운영에 필요한 기술과 소프트웨어를 제공하는 업체로서 스스로들을 포장했다. 구단들 입장에서는 일일이 추적하기도 쉽지 않은 업체가 합법적인 사업자 등록증까지 들고 나타나 적잖은 돈을 광고비로 주겠다고 하니 별 거리낌 없이 파트너십을 받아들이는 것이기도 하다. 비고리시바이퍼의 불법적인 행위를 구단들이 인지하고 적극 도움을 준 경우는 없는 것으로 보인다. 대다수가 비고리시바이퍼가 내세운 기업이나 사이트 주소가 합법적인 사업체이자 브랜드인 것으로 파악하고 있었다고 인포블록스는 강조했다.
이렇게 불법 내기 사이트 주소로 도배가 된 축구 경기를 관람하는 사람들은 어떻게 반응할까? 스포츠 내기라는 것에 관심이 있다면 당연히 그런 사이트에 한 번씩 접속해보기 마련이다. 여기서 비고리시바이퍼는 교묘한 술수를 부렸다. 오직 중국과 일부 동남아시아 국가들의 사용자들만 접속이 되도록 한 것이다. “일단 유니폼이나 각종 광고판에 나오는 광고 문구가 중국어로 되어 있는 경우가 많습니다. 사이트 주소 자체는 영어로 되어 있지만, 그 주소를 소개하는 문구는 중국어로 쓰여 있는 식이죠. 유럽에서 진행되는 리그이지만 중국어로 광고한다는 건, 애초부터 비고리시바이퍼가 노리는 표적이 중국인들이나 일부 아시아인들이라는 걸 뜻합니다.”
그 외에도 여러 가지 장치가 마련됐다. “일단 선수들 유니폼에 찍힌 사이트 주소를 브라우저에 입력해서 들어간다고 했을 때, 대부분 국가에서는 접근이 차단됩니다. ‘지금 지역에서는 접속이 불가합니다’라는 메시지가 뜨는 것이죠. 하지만 홍콩이나 마카오, 중국 본토에서 접속하면 어떨까요? 오류 메시지가 뜨지 않고 제대로 접속이 됩니다. 보통은 광고에 나온 주소에 곧바로 접속되는 게 아니라, 또 다른 사이트로 우회됩니다. 즉 광고에 나온 사이트들은 사실 접속을 시도하는 사람들이 정말로 중국인인지, 혹은 정말 사람이긴 한 건지, 봇이나 추적자들은 아닌 건지 확인하려는 목적으로 사용될 때가 많다는 것입니다. 한 마디로 ‘핑거프린팅(fingerprinting)’ 사이트가 광고되는 것이고, 거기서 통과되어야만 실제 내기를 할 수 있는 사이트로 인도되는 겁니다.”
참고로 핑거프린팅이란 디지털 지문을 채취하고 확인하는 것을 말한다. IP 주소나 도메인 요청, 마우스 움직임 분석, 타이핑 패턴 추적 등 다양한 기술을 사용해 접속을 시도하는 것이 정말 사람인지, 봇인지, 어느 지역에 있는 사람인지 등을 확인한다. 이것 자체는 불법이 아니다. 마케팅 분야에서도 광고를 특정 계층에 노출시키기 위해 핑거프린팅 기법을 자주 동원한다. 비고리시바이퍼의 경우 핑거프린팅 기법을 통해 피해자들을 걸러냈다고 볼 수 있다. 이 과정을 통과하지 못하면 내기를 하고 싶어도 할 수 없게 된다. 중국에서 스포츠 내기에 참가하고자 하는 사람들이 얼마나 많으면 유럽 리그에서 중국어로 광고하고, 잠재적 피해자들까지 걸러내는 여유를 보이는 것일까.
이토록 단단한 보안
핑거프린팅을 통해 피해자들을 골라내는 이유는 단지 특정 계층에게만 피해를 입히기 위해서는 아니다. ‘보안’이 더 강력한 이유가 된다. 이들이 구사하는 보안 전략은 ‘심층 보안’이라고 인포블록스는 정의했다. 보안 장치를 여러 겹으로 마련함으로써 해킹 공격이나 역추적 등을 방해하고 있는 것이다. 이 심층 보안이라는 것은 보안 업계가 기업과 기관들에 수년 째 권장해 온 보안 전략이다. 백신 하나 설치한 것으로, 혹은 다중 인증을 구축한 것만으로 보안을 강화했다고 안심해서는 안 된다는 게 바로 이 ‘심층 보안’의 핵심이다. 다중 인증도 하고, 비밀번호도 강력하게 설정해서 사용하고, 백신도 설치하고, 정책도 변경하는 등 여러 개의 장치들이 다채롭게 작동해야 비로소 보안이 완성된다고 하는데, 사실 심층적으로 보안 벽을 구성하여 사용하는 단체들이 많다고 하기 힘들다.
[이미지 = gettyimagesbank]
그런데 그걸 비고리시바이퍼라는 해킹 조직이 하고 있었다. “비고리시바이퍼는 원하지 않는 이들을 철저히 차단하고 있었습니다. 지오펜스 시스템을 가동하여 IP 주소를 검사하고, VPN을 사용하고 있지 않은지 탐지하는 기술도 갖추고 있었습니다. 복잡한 자바스크립트를 사용하여 정말 인간 사용자가 사이트에 들어오려고 하는지 확인하기도 하지요. 마우스 움직임을 계산한다거나, 사용자 에이전트의 문자열을 확인한다거나 하는 식으로 말입니다. 다양한 트래픽 배포 시스템을 활용해 이런 확인 장치들을 광범위하게 적용하고 있으며, 그 결과값에 따라 알맞은 도메인으로 연결시켜주기까지 합니다. 그러니 이들의 인프라 전체를 파악한다는 게 불가능에 가깝다고 하는 겁니다.”
이런 복잡하고 광범위한 보안 장치들을 통해 비고리시바이퍼는 중국발 IP 주소들을 세분화 하여 파악할 수 있는 것으로 분석됐다. 거주지 주소인지, 모바일 주소인지, 상업 단체의 주소인지 등을 구분하는 게 가능하다는 것이다. “또한 토르 출구 노드를 제한하기도 하면서 시시 때때로 다른 콘텐츠를 전달하기도 합니다. 처음에는 특정 사용자의 사이트 접속을 허락했다 하더라도 모종의 이유로 금지시키기도 하는데, 이 때 자신들과 전혀 상관없는 사이트로 접속시키기도 합니다. 갑자기 캡챠(CAPTCHA) 화면을 띄우기도 하고요. 정말 집요하게 많은 장치들을 활성화시키고 있었습니다.”
흥미로운 건 이런 복잡한 보안 장치들 때문에 사용자 경험이 저해되지 않는다는 것이다. 내기를 하러 들어온 중국인 혹은 동남아시아인들이라면 이 모든 확인 과정들을 빠르고 신속하게 통과하여 자신들이 원하는 걸 할 수 있게 된다. 심지어 그 확인 과정들을 거치고 있다는 걸 모를 때가 훨씬 많다. 보안 업계에서 최근 몇 년 동안 강조하고 있는 ‘편리한 보안’ 혹은 ‘쉬운 보안’을 이미 도입하고 있다는 걸 알 수 있다.
다만 한 가지, 비고리시바이퍼는 성공적으로 사이트에 접속해 내기를 하려는 사용자들에게 에이전트를 활용할 것을 권장하긴 한다. 사이트에서 직접 내기를 해도 되지만, 중간자를 거쳐서 돈을 걸거나 딴 돈을 회수하라는 것이다. 그래야 추적에 걸리지 않거나 쉽게 따돌릴 수 있으며, 심지어 발각되더라도 에이전트에게 뒤집어 씌울 수 있다는 게 그 이유다. 불법 내기를 했다는 사실을 은폐시키거나 부인할 수 있는 방법까지 마련해 사용자들에게 제공하고 있는 것인데, 이 때문에 사용자들은 중간자를 둬야 하는 귀찮음을 감수하는 편으로 보인다. 보안이 쉽고 편리하게 적용되어야 할 곳과, 귀찮음을 주더라도 사용자를 교육하고 설득해야 할 곳을 적절히 알고 알맞게 운영하고 있는 모습이 놀랍다.
내기를 하려는 사람들과 에이전트들은 텔레그램 등 종단간 암호화가 잘 되어 있는 채팅 앱을 사용하여 소통한다. 하지만 대부분 비고리시바이퍼가 직접 개발한 채팅 앱을 사용하는 것으로 분석됐다. 암호화가 잘 되어 있으며, 따라서 비밀스러운 대화 내용이 외부로 새어나가는 일이 없다. UI가 스냅챗 등 유명 채팅 앱들과 똑같거나 유사해 ‘복사판’의 느낌을 주긴 하지만, 여기서 중요한 건 디자인이나 독창성이 아니라 보안성이기 때문에 용서가 된다.
정확히 어떤 피해를 남기는가?
이런 복잡하고도 철저한 인프라를 통해 비고리시바이퍼가 얻어가는 건 무엇일까? 매년 수십억 달러에 달하는 돈을 광고비로 내는데도 남는 것이 있을까? 일단 여타 도박 업체들이 그러하듯, 내기를 주선해주고 수수료를 받는 것만으로도 수익이 적지 않을 것으로 예상된다. 내기를 하려는 사람들이 넘쳐나기 때문에 중간에서 그들이 거는 돈의 일부만 떼어도 충분히 남는 장사가 될 것으로 보이지만 인포블록스가 이들의 수익에 대해서는 정확히 분석하지는 못하고 있다. 다만 이들이 건드리고 있는 시장이 8500억 달러 규모라는 걸 잊으면 안 된다.
[이미지 = gettyimagesbank]
도박에 잘못 빠지는 사람들이 생겨나는 것도 중요하다. 비고리시바이퍼는 도박으로 많은 빚을 지게 된 사람들을 ‘현대판 인간 노예’로 삼는다고 인포블록스는 강조한다. “이런 사람들은 강제로 인포블록스의 또 다른 사업에 참여해야만 합니다. 주로 피싱 공격을 수행하거나 ‘돼지 도살 공격’을 하도록 훈련됩니다. 도박 중독자가 하루 아침에 사이버 범죄자가 되는 것이죠. 불법 도박 사업으로 돈도 걷고 후속 사업의 인력도 만들어낸다고 할 수 있습니다.”
또한 인프라를 복잡하게 구성하느라 만들어 둔 여러 도메인들을 그냥 놔두는 것도 아니다. 인포블록스는 조사를 진행하면서 적잖은 수의 도메인이 불법 스트리밍 서비스나 포르노그래피 사이트로 운영되고 있는 것을 발견했다고 한다. “중국에서는 서방 세계의 콘텐츠나 서비스를 소비할 때 제한이 많이 걸립니다. 이른 바 만리방화벽이라는 것 때문이죠. 그래서 유럽 축구 리그를 보고 내기를 거는 중국인들이 증가한다는 건 사실 꽤나 이상한 소리입니다. 유럽 축구 리그가 중국으로 중계권을 팔지 못하는 상황이기 때문입니다. 무슨 의미일까요? 애초에 내기에 참여하는 그 많은 중국인들이 대부분 불법적으로 축구 경기를 관람한다는 뜻입니다. 비고리시바이퍼가 이 점을 잘 파악했어요. 내기를 하려는 사람들에게 불법 스트리밍 서비스가 필요하다는 것을요.”
그런 사이트들에는 각종 광고들이 따라붙는다. 불법 사이트들에 작은 광고들이 덕지덕지 붙은 경우들이 많은데, 비고리시바이퍼가 운영하는 사이트들 중 일부에서도 그런 모습이 발견된다고 한다. 불법 스트리밍 및 포르노그래피 사이트를 개설하고 광고비를 적잖이 챙기는 것을 예상할 수 있다. 보안 장치들이 여러 겹으로 이들의 사업을 보호하고 있듯, 수익 구조 역시 입체적이다. 그에 따라 인프라는 더욱 복잡해지고, 사업 아이템들도 늘어날 것으로 예상된다.
비고리시바이퍼, 어떻게 막는가?
중국이나 동남아시아에서 거주하는 것이 아니라면 비고리시바이퍼의 함정에 빠질 가능성은 현재로서는 낮다. 하지만 스포츠 내기에 열중하는 사람이라면, VPN 등과 같은 기술을 활용해 중국이나 동남아시아인으로 디지털 지문을 변조시킨 후 비고리시바이퍼가 운영하는 악성 사이트들에 접속해 들어갈 수도 있다. 그렇기 때문에 인포블록스는 “그 무엇보다 온라인 상에서 운영되는 불법 도박과 불법 내기 서비스가 얼마나 위험한지를 인지하고, 그런 서비스들로부터 멀어지도록 사용자들을 교육하는 게 최우선적”이라고 강조한다.
[이미지 = gettyimagesbank]
“또 공격자들은 자신들의 불법 사이트나 도메인을 진짜처럼 보이게 만드는 데 능숙합니다. 눈으로 가짜와 진짜를 식별한다는 게 불가능해진 건 이미 옛날의 일이지요. 눈으로 확인하는 것만으로도 충분히 위험에서 빠져나올 수 있다고 믿는 사용자들이 제법 많은데, 그 생각을 바꿔주는 게 중요합니다. 이제 눈 외에 다른 확인법을 갖춰야 합니다. 자칫 잘못하다가는 현대판 노예가 될 수도 있고, 평생 모아온 재산을 한 번에 잃을 수도 있으니까요. 공격자들이 새로운 공격 기술과 전략을 가지고 나타나듯, 방어하는 자들도 새로운 방어 기법을 받아들여야 합니다.”
그 외에도 인포블록스는 보고서를 통해 비고리시바이퍼와 연관이 있는 것으로 강력히 추정되는 브랜드 이름들과 도메인들을 현 시점 기준으로 빠짐없이 공개하고 있다. “이 도메인들을 조직 차원에서 전부 차단시키는 게 안전합니다. 회사 네트워크에서는 그 어떤 사이트들에도 접속하지 못하도록 하는 것이죠. 교육도 중요합니다만 기술적으로 조치를 취하는 것도 마찬가지로 중요합니다.” 인포블록스와 비고리시바이퍼라는 이름으로 검색하면 보고서를 쉽게 찾을 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>