각종 문제로 두들겨 맞던 빅테크들이 사이버 범죄자들을 무력화시키는 활동을 이어가면서 적잖은 성과를 냈다. 그리고 이번 주 그 성과들을 자랑했다. 그러면서 일부 지역의 ‘물리적 환경’에도 큰 영향을 미친 것으로 보이는데, 그만큼 대형 인터넷 플랫폼은 실제 우리가 살아가는 삶과 밀접해지고 있다는 뜻이 된다.
[보안뉴스 문정후 기자] 최근 빅테크들이 보안 업계는 물론 사이버 범죄 수사에도 큰 족적을 남기고 있다. 특히 이번 주 구글, 메타, MS가 경쟁하듯 각자의 성과를 발표했는데, 그 중 실제 물리 세계에도 영향을 줄 만한 것들도 있었다. 대형 플랫폼이라고 한다면, 그것이 온라인 공간에 있는 것이라고 하더라도 물리 세계에 적잖은 영향을 미치기 때문에 가능한 일이다. 온-오프라인의 경계가 점점 흐려지면서 온-오프라인의 범죄 역시 경계가 흐려지고 있다.
[이미지 = gettyimagesbank]
메타, 돼지 도살 공격에 훼방을 놓다
먼저 메타는 2023년 한 해 동안에만 200만 개 이상의 계정을 차단했다. 이 계정들 전부 아시아 지역의 범죄 조직과 관련되어 있었다고 한다. “미얀마, 라오스, 캄보디아, UAE, 필리핀에 근거지를 둔 각종 범죄 단체들이 ‘돼지 도살’ 공격을 하기 위해 마련한 센터에서 사용되고 있던 계정들이었습니다. 이들은 이 계정들을 가지고 전 세계 사람들에게 접근하여 속인 후 허위 투자를 하라고 꾀었습니다. 그 외에도 이와 비슷한 수법으로 수많은 피해자들을 냈습니다.” 메타는 이 계정들을 단순히 차단만 한 것이 아니라 각 국가의 사법 기관들에도 알려 수사를 돕기도 했다.
여기서 말하는 ‘돼지 도살(pig butchering)’ 공격은 무엇일까? 메타의 설명은 다음과 같다. “가장 교활하고 정교한 사기 수법 중 하나로, 피해자와 가해자가 신뢰를 쌓고, 그 신뢰를 바탕으로 큰 피해를 일으키는 것입니다. 마치 돼지를 키워 덩치를 불린 후에 도살하는 것처럼, 피해자가 가해자를 철저히 믿게 함으로써(즉 덩치를 불리고) 옴짝달싹 못하게 하고 돈을 빼앗는 것(즉 도살하는 것)이라고 할 수 있습니다. 대부분은 허위 투자로 유도하기 위해 신뢰를 쌓는데, 암호화폐와 관련된 경우가 많고, 피해자는 대부분 전 재산을 잃는 수준의 피해를 입습니다.”
이 돼지 도살 공격은 코로나 기간 동안 아시아 태평양 지역에서 급부상했다. 이 지역 내 여러 범죄 조직들이 각종 온라인 사기 공격을 실시할 때 너도 나도 돼지 도살 공격을 도입한 것이다. 이들은 본격적으로 사기를 치기 위한 콜센터도 운영하고 있는데, 메타는 이를 ‘사기 센터’라고 부른다. “이 사기 센터들은 주로 아시아에 기반을 두고 있지만 전 세계 사람들을 대상으로 공격을 감행합니다. 주로 지나치게 좋은 구직 공고를 통해 순진한 구직자를 유인한 뒤 강제로 자신들의 범죄 행위에 가담시키는데, 이 때 신체적 폭력을 가할 때가 많습니다.”
미국의 평화연구소에 따르면 이러한 범죄 조직에 의해 약 30만 명이 강제로 사기 행위에 동원되며, 2023년 기준 전 세계에 연간 약 640억 달러가 이러한 범죄 행위로 인해 사라졌다(사기꾼들의 지갑으로 들어갔다)고 한다. 범죄자들에게 속아 강제로 동원되는 사람들이 겪는 심각한 인권 피해와 더불어, 이런 피해자들의 강제 사기 행각에 입는 경제적 피해를 생각했을 때, 이런 돼지 도살 범죄는 반드시 도말되어야 할 사기 유형이라고 할 수 있다.
공격 전술
메타는 초기에 캄보디아의 사기 센터에 집중했으나, 얼마 지나지 않아 라오스와 미얀마, UAE 등으로 범죄 행위가 광범위하게 퍼져 있다는 것을 알고 이들을 전부 추적했다고 한다. “특히 캄보디아의 시하누크빌과 같은 지역은 중국의 범죄 조직들과 연계된 사기 범죄단의 중심지로 알려져 있습니다. 그래서 전문가 및 NGO, 사법 기관들과 긴밀히 협력하여 범죄자들의 사기 센터 운영 방식을 파악했습니다.”
[이미지 = gettyimagesbank]
그러면서 메타는 이들이 어떤 식으로 범죄를 저지르는지 파악할 수 있었다. 이를 정리하면 다음과 같다.
1) 속임수 : 공격자들은 매력적인 싱글로 가장하거나 정부 기관의 영향력 있는 인사, 혹은 유명 인사, 신뢰받는 기업을 사칭한다. 조직들은 철저하게 각본을 짜 이런 가짜 ‘신원’에 신빙성을 부여하는데, 이 단계에서의 치밀함이 혀를 내두르게 할 정도다. 단순히 사기꾼 한두 사람이 연기를 잘 하는 차원에서 실행되는 게 아니라 철저한 준비와 사전 계획, 그리고 꼼꼼한 전략을 가지고 접근하여 목적을 달성한다.
2) 광범위한 접근 : 위의 방법으로 개개인을 1:1로 공략한다면, 자동화 도구를 활용해 대량의 메시지와 이메일을 뿌려 많은 사람들에게 한꺼번에 접근하는 사례도 존재한다. 이럴 때는 피해자에 따라 맞춤형으로 전략을 구사할 수 없어 일반적인 사기꾼들의 접근 방식을 그대로 답습하는 경우가 대부분이다. 다만 이렇게 해서 1차적으로 걸려든 사람들에게는 개인적으로 접근하면서 보다 ‘맞춤형’에 가깝게 전략을 변경한다.
3) 활동 영역 : 공격자들이 주로 피해자들을 만나 속이는 곳은 데이팅 플랫폼, 소셜미디어, 메시징 앱이었다. 여기서 관계에 진전이 있으면 전화번호를 주고받은 후 문자 메시지로 소통을 이어가기도 한다. 그러면서 피해자와 가해자는 더 깊은 신뢰 관계를 형성하게 되는데, 때가 됐다 싶으면 공격자는 장소를 특정 투자 플랫폼이나 암호화폐 플랫폼으로 옮긴다. 당연하지만 대부분 가짜이고, 공격자가 제어하는 플랫폼들이다.
4) 점진적인 배신 : 아무리 신뢰가 쌓였다 한들 ‘온라인 관계’에서 한꺼번에 많은 돈을 빼돌리기란 쉽지 않다. 그래서 초기에는 소액의 거래를 하고, 약속을 지킨다. 적은 돈을 잠깐 빌리고 이자까지 쳐서 갚아주는 식이다. 혹은 소액의 투자를 유치한 뒤 그에 대한 이익을 돌려주기도 한다. 그러면서 신뢰를 더 두텁게 만드는데, 그러다가 어느 날 큰 돈을 요구하기 시작한다. 전에 쌓인 신뢰 관계 때문에 돈을 투자하거나 빌려주면 사기꾼들은 그 길로 사라진다.
“이렇게 조직적으로 운영되는 사기 센터는 전 세계에 매년 수십억 달러의 피해를 초래합니다. 현대 사회에 있어 대단히 심각한 위협이라고 할 수 있습니다. 게다가 이들은 피해자들을 강제로 동원하여 또 다른 피해자들을 만들고 있기도 합니다. 물리적인 조직 범죄와 사이버적인 조직 범죄가 융합된 형태라고 할 수 있습니다. 따라서 이런 작전에 대한 정보를 민관이 공유하여 범죄를 보다 적극적으로 억제할 필요가 있습니다.” 메타의 설명이다.
어떻게 대응했나?
이런 범죄 조직의 움직임을 파악한 뒤에도 메타는 2년 동안 계속해서 이들을 추적해왔다고 한다. “그 결과 이들의 사기 행각이 벌어지는 주요 거점들을 파악할 수 있었고, 전담 팀과 전담 시스템을 구축해오기도 했습니다. 또한 메타 내외의 주요 파트너들과 협력하여 다양한 사기 시도를 미리 탐지해 훼방하기도 했습니다. 그저 지켜만 본 게 아니라 이들이 실질적으로 피해를 일으키지 못하게 막기도 했던 것입니다.”
[이미지 = gettyimagesbank]
메타는 위험성이 높은 사용자들을 따로 관리하기 위해 ‘위험 단체 및 개인(DOI)’이라는 이름의 정책을 새롭게 마련했다고 한다. 그리고 이 정책에 근거하여, 여러 조사와 분석, 외부 전문가와의 협의를 통해 ‘사기 범죄에 연루되어 있다’고 판단을 내릴 만한 계정들을 DOI로 지정하는 작업을 꾸준히 해왔다. “DOI로 지정된 단체나 개인은 메타의 플랫폼에서 차단되며 다양한 조치의 대상이 됩니다.”
여기서 말하는 ‘다양한 조치’ 중 하나는 이 DOI들이 감시와 규제를 피해가려는 시도를 할 때 이를 탐지하는 것이다. 즉 더 이상 메타에서 활동할 수 없게 된 공격자들이 여러 가지 수법을 동원해 메타 플랫폼에 새롭게 진입하려 할 때 그 노력을 무산시키는 것이다. “이런 활동을 통해 플랫폼을 보다 깨끗하게 지킬 뿐만 아니라 공격자들의 거점이나 전략을 새롭게 파악하게 되기도 합니다. 이 과정을 통해 캄보디아, 미얀마, 라오스, UAE, 필리핀에서 만들어진 계정 200만 개 이상을 삭제할 수 있었던 것입니다.”
하지만 메타 혼자서 이 범죄자들 전부를 막을 수는 없었다. 든든한 파트너십이 필요했다. “사기 조직들은 지속적으로 공격을 시도하며, 자원이 풍부합니다. 또한 감시 망을 벗어나기 위해 끊임없이 진화하고 있기도 합니다. 이들은 국경을 초월하여 활동하며, 여러 인터넷 플랫폼에 걸쳐 있음으로 독단적인 작전으로 이들을 검거하거나 훼방하기 힘들다는 특성 또한 가지고 있습니다. 그렇기에 메타는 전 세계적으로, 각계 각층의 조직들과 연계해 이들을 추적하고 방해해야만 했습니다.”
그 파트너십 중에서도 가장 중요한 건 법 집행 기관과 협력하는 것이었다. 아무리 거대한 플랫폼을 보유한 기업이라 하더라도 법적 권한까지 가지고 있는 건 아니었기 때문이다. “전 세계의 법 집행 기관과 협력하여 사기 센터를 운영하는 돼지 도살 범죄 조직이 산업적으로 성장하지 못하게 억제하려 하고 있습니다. 저희가 저희 플랫폼에서 얻는 통찰과 정보를 집행 기관들에 제공하여 이들이 자국민과 공동체를 보호하도록 돕고 있습니다. 덕분에 저희 플랫폼도 더 깨끗해지는 것이고요.”
같은 산업에 종사하는 다른 기업들과의 파트너십도 중요했다. 왜냐하면 범죄 조직들이 메타의 플랫폼만 악용하는 게 아니었기 때문이다. 그들은 다른 소셜미디어에서도 왕성하게 활동했고, 메타는 그러한 소셜미디어 업체들과의 협력을 통해 더 나은 통찰을 얻기도 하고, 위험의 확산을 막기도 했다. “예를 들어 최근 캄보디아에서 새롭게 사기 센터 하나가 만들어진 적이 있었습니다. 그곳에서는 일본어와 중국어를 사용하는 사람들을 겨냥한 범행이 주로 자행되었습니다. 저희는 오픈AI(OpenAI)와의 협업을 통해 이들이 사기 콘텐츠를 일본어와 중국어로 제대로 번역하지 못하도록 방해할 수 있었습니다.”
더 나아가 메타는 사기 방지를 위한 글로벌 회의를 개최하기도 했다. ‘테크어갠스트스캠콜리션(Tech Against Scams Coalition)’이 바로 그것이었다. 온라인 사기 범죄 조직에 대응하기 위한 국제적 회의로 메타가 공동 주최했다. “이 회의에는 국제적인 법 집행 기관과 정부 관계자들, NGO와 기술 기업들의 전문가들이 참석했습니다. 돼지 도살과 같은 온라인 사기 공격이 초국가적 위협이라는 데에 동의하여 대처 방안을 논의했습니다.” 여기에는 다른 여러 사기업들도 참여하고 있다.
안전한 온라인 생활을 위한 7가지 팁
메타는 이러한 경험들을 바탕으로 사용자들을 위한 ‘안전 팁 7개’를 정리해 공유하기도 했다. 이는 다음과 같다.
[이미지 = gettyimagesbank]
1) 이중인증은 계정을 강력하게 보호한다 : “이중인증이라고 해서 만능이면서 완벽한 보안 기능이라고 할 수는 없습니다. 하지만 비밀번호 하나로 지키는 것보다는 훨씬 더 낫습니다. 이 옵션 하나로 얻는 이득이, 이 옵션을 켬으로써 얻는 귀찮음보다 비교도 할 수 없을 정도로 큽니다.”
2) 셀피 인증도 강력하다 : “특정 이유로 계정에 접근할 수 없게 되었을 경우, 셀피 인증을 통해 본인만이 계정에 다시 접근할 수 있게 하는 ‘셀피 인증’ 옵션 역시 많은 도움이 됩니다.”
3) 정부 웹사이트를 사칭하는 사기, 생각보다 많다 : “공식 정부 웹사이트처럼 보이는 사기 사이트를 공격자들은 생각보다 많이 만들고, 많이 사용합니다. 보통 정부 사이트는 개인정보를 활용한 로그인을 하도록 되어 있죠. 공격자들이 이런 사이트를 흉내 내는 것도, 개인정보를 훔치기 위해서입니다. 따라서 정부 사이트에 접속할 때면 확인에 확인을 거듭해야 합니다.”
4) 믿기 어려운 혜택은 믿지 말아야 한다 : “할인률이든 근무 조건이든, 일반적으로 알던 것보다 훨씬 좋아서 사지 않거나 지원하지 않으면 후회할 것만 같은 건 가짜일 확률이 높습니다. 실제로 많은 피싱 공격자들이 말도 안 되는 혜택을 조건으로 내걸면서 사람들을 속입니다. 여기에 속는 사람들도 상당히 많고요. 반드시 다른 경로라도 사실을 확인하는 게 중요합니다.”
5) 연예인이 광고에 나온다고 다 믿으면 안 된다 : “잘 알려진 연예인은 자동으로 ‘신뢰’라는 감정을 이끌어냅니다. 그래서 기업들이 연예인을 자주 기용하는 것이죠. 범죄자들도 마찬가지입니다. 이들은 연예인 사진을 허락도 없이 도용하여 사람들의 링크 클릭을 유도하는 전략을 자주 씁니다.”
6) 돈을 요구하는 상대, 주의하라 : “당신과 어떤 관계에 있는 사람이든, 온라인 상으로 돈을 요구하기 시작한다면 일단 의심부터 하는 게 좋습니다. 공격자들의 궁극적 목적은 돈이기 때문에 무슨 관계가 어떻게 형성되었든 결국 ‘돈 요구’로 귀결됩니다. 특히 실제로 얼굴을 본 적은 없고 온라인 친분만 있는 사람에게 돈을 빌려주는 행위는 절대로 해서는 안 됩니다.”
7) 유명 브랜드도 자주 사칭된다 : “신뢰를 얻기 위해 공격자들이 하는 일 중에는 유명 브랜드를 사칭하는 것도 있습니다. 진짜 로고도 가져다 쓰기 때문에 깜빡하면 속기 십상입니다. 다만 사칭범들의 경우 철자나 문법에서 오류를 잘 내기도 하니, 이를 눈여겨 보면 좋습니다. 또한 지나친 할인 소식이 곁들여졌을 경우 더 깊은 의심이 필요합니다.”
마이크로소프트, 사이버 범죄자들을 겨냥해 공급망 공격을 실시
한편 MS도 피싱 공격에 사용되던 웹사이트 240여 개를 무력화시킴으로써 공격자의 중요한 ‘공격 인프라’를 망가트리는 데 성공했다고 발표했다. MS의 추적을 받은 건 이집트에 근거지를 두고 활동하는 사이버 범죄자인 아바눕 나디(Abanoub Nady)라는 인물로, 온라인 상에서는 ‘미스터엑스코더(MRxC0DER)’라는 이름으로 활동하는 자였다.
[이미지 = gettyimagesbank]
“미스터엑스코더는 공격자들이 스스로 피싱 공격을 기획하고 실행할 수 있도록 해 주는 피싱 키트를 개발하고 판매했습니다. 오넥스(ONNX)라는 브랜드를 사칭하여 이러한 서비스를 제공하고 있었지요.” MS의 설명이다. 공격자들은 미스터엑스코더로부터 피싱 키트를 사서 자신들만의 피싱 공격을 감행했다. 즉 그는 피싱 공격이라는 거대한 생태계의 시작점에 있던 자였던 것이다. 그러므로 이 자에게 타격을 주면 적잖은 피싱 공격자들이 영향을 받을 터였다.
“그에게서 물건을 산 공격자들은 거의 대부분 금융 기관들을 표적으로 삼아 공격을 실시했습니다. 성공한 사례들도 있습니다. 막대한 금전적 피해를 입은 사람들이 여기 저기서 나타났습니다. 평생 저축해온 돈을 한꺼번에 잃은 경우도 있었습니다. 안타깝게도 이러한 금전적 피해는 사실상 복구가 불가능할 때가 많습니다. 따라서 이 자에게 조치를 취하는 게 대단히 중요한 일이 되었습니다.”
사실 다크웹에는 피싱 공격을 보다 쉽고 간편하게 만들어주는 키트들이 여럿 존재한다. 그런 키트를 만들어 파는 자들도 상당히 많다. “서비스형 피싱은 이미 어엿한 하나의 산업으로 자리를 잡았습니다. 그 중에서도 오넥스가 차지하는 비중은 작지 않았습니다. 2024년에 저희가 조사한 바에 따르면 이메일 발송량 기준 상위 5대 피싱 키트 제공자 중 하나가 오넥스였습니다.” 나디는 여러 동업자들과 오넥스를 하나의 기업처럼 운영하고 있었다.
오넥스, 어떻게 운영됐나
MS는 나디의 활동을 2017년까지 거슬러 올라가 추적했다. 그러면서 나디는 오넥스만이 아니라 카페인(Caffeine), 보다 최근에는 퓨어러(FUHRER)이라는 이름을 사용해 사업을 진행하기도 했다는 걸 알아냈다. “나디가 만든 피싱 키트는 대규모 이메일 발송에 최적화 되어 있습니다. 구매자들은 기본, 전문가용, 기업용 중에서 하나를 택하여 구독할 수 있었으며, 무제한 VIP 지원과 같은 부가 서비스를 통해 각종 범죄 실행 팁과 튜토리얼을 제공하기도 했습니다.”
피싱 키트는 주로 텔레그램의 비밀 채널을 통해 홍보되거나 판매됐다. 그 외 다른 소셜미디어 플랫폼에서도 구매 및 사용 방법 안내 영상을 게시한 적이 있다. “이런 경로를 통해 피싱 키트를 구매한 사이버 범죄자는 템플릿과 공격 인프라에 대한 접속 권한을 받게 됩니다. 그리고 이를 이용해 자기가 원하는 피싱 공격을 실행할 수 있지요. 즉 이번에 무력화시킨 240개 웹사이트가 오넥스 고객들이 이용하던 플랫폼이면서 동시에 오넥스의 밥줄이었다고 할 수 있습니다. 그것이 한꺼번에 사라졌으니 오넥스는 물론 고객들도 곤란하게 된 것입니다.”
정교해지는 피싱
MS는 오넥스가 기승을 부리고 있다는 건 사이버 위협이 점점 정교해지고 있다는 걸 나타낸다고 해석한다. “특히 ‘중간자 공격’이라는 유형의 피싱 기술이 두드러지고 있다는 걸 보여주죠. 기업과 기관들이 나름 보안을 강화하면서 피싱 공격은 실질적으로 어려워지고 있고, 그렇기 때문에 현존하는 방어 시스템들을 우회하기 위해 중간자 공격이 공격자들 사이에서 빠르게 도입되는 중입니다. 중간자 공격이란, 공격자가 네트워크 통신에 몰래 침입하여 사용자의 크리덴셜이나 세션 쿠키를 훔침으로써 인증 과정을 통과하거나 우회하고 나서 사용자의 통신을 가로채는 것을 말합니다.” 참고로 MS는 올해 이 중간자 공격이 146% 증가했다고 집계하고 있다.
[이미지 = gettyimagesbank]
방어가 탄탄해지고 있어 새로운 피싱 기법도 등장하고 있다. 그 중 하나가 큐알코드 피싱이다. 퀴싱(Quishing)이라고도 한다. “퀴싱은 큐알코드를 이용하여 사용자가 가짜 로그인 페이지에 접속하여 로그인 정보를 입력하도록 유도하는 기법입니다. 2023년 9월부터 이런 유형의 공격 기법이 크게 증가했습니다. 전체 이메일 피싱의 약 25%를 차지할 정도입니다. 큐알코드는 맨눈으로 읽기 힘들어 아무리 사용자를 훈련시킨다 한들 예방하기가 어렵습니다. 큐알코드를 이용한 공격은 보안 업계의 새로운 과제라고 할 수 있습니다.”
물론 이것으로 나디가 완전히 사이버 범죄 업계에서 은퇴하는 건 아니다. 오넥스나, 그에 준하는 서비스가 다시 등장하는 것도 시간 문제일 뿐이다. “이번 한 번의 성공으로 오넥스 혹은 나디의 범죄가 완전히 근절된 건 아닙니다. 지속적으로 그를 추적해 새로운 인프라를 무력화시키고, 새로운 기술에 늦지 않게 대응하는 등 꾸준한 노력을 병행해야 합니다. 뿐만 아니라 오넥스나 나디를 모방하려는 새로운 공격자의 출현에도 대비해야 할 것입니다.”
협력의 중요성
MS는 사이버 범죄자들은 ‘산업 단위’로 움직이기 때문에 방어하는 입장에서도 ‘산업 단위’로 방어해야 한다고 주장한다. 즉 산업 내 혹은 산업 간 협력이 필수불가결의 요소라는 것이다. “각 기업이나 기관, 개인 모두 최신 정보를 습득하고 경계를 늦추지 말아야 합니다. 더불어 강력한 보안 기능을 구축 및 실행하여 사이버 환경을 모두가 개선해 나아가야 합니다. 공동의 노력 없이, 개개인의 힘으로 사이버 범죄를 막을 수 있는 단계는 이미 지났습니다.”
무력화나 체포, 서버 압수 등의 조치가 사이버 범죄를 영구히 근절시키지 못하더라도 계속해서 무력화하고, 체포하고, 서버를 압수해야 한다고 MS는 주장하기도 한다. “왜냐하면 그런 사법적 활동이 사이버 범죄자들에게 강력한 메시지가 되기 때문입니다. 체포의 위험이 있다, 누군가 나를 추적하고 있다는 리스크가 없다면 공격자들은 지금보다 더 날뛸 겁니다. 최소한의 눈치는 보게 해야 어느 정도 억제 효과가 날 것입니다. 그렇기 때문에 꾸준히 이들을 체포하고 무력화시킬 필요가 있습니다.”
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 최근 빅테크들이 보안 업계는 물론 사이버 범죄 수사에도 큰 족적을 남기고 있다. 특히 이번 주 구글, 메타, MS가 경쟁하듯 각자의 성과를 발표했는데, 그 중 실제 물리 세계에도 영향을 줄 만한 것들도 있었다. 대형 플랫폼이라고 한다면, 그것이 온라인 공간에 있는 것이라고 하더라도 물리 세계에 적잖은 영향을 미치기 때문에 가능한 일이다. 온-오프라인의 경계가 점점 흐려지면서 온-오프라인의 범죄 역시 경계가 흐려지고 있다.
[이미지 = gettyimagesbank]
메타, 돼지 도살 공격에 훼방을 놓다
먼저 메타는 2023년 한 해 동안에만 200만 개 이상의 계정을 차단했다. 이 계정들 전부 아시아 지역의 범죄 조직과 관련되어 있었다고 한다. “미얀마, 라오스, 캄보디아, UAE, 필리핀에 근거지를 둔 각종 범죄 단체들이 ‘돼지 도살’ 공격을 하기 위해 마련한 센터에서 사용되고 있던 계정들이었습니다. 이들은 이 계정들을 가지고 전 세계 사람들에게 접근하여 속인 후 허위 투자를 하라고 꾀었습니다. 그 외에도 이와 비슷한 수법으로 수많은 피해자들을 냈습니다.” 메타는 이 계정들을 단순히 차단만 한 것이 아니라 각 국가의 사법 기관들에도 알려 수사를 돕기도 했다.
여기서 말하는 ‘돼지 도살(pig butchering)’ 공격은 무엇일까? 메타의 설명은 다음과 같다. “가장 교활하고 정교한 사기 수법 중 하나로, 피해자와 가해자가 신뢰를 쌓고, 그 신뢰를 바탕으로 큰 피해를 일으키는 것입니다. 마치 돼지를 키워 덩치를 불린 후에 도살하는 것처럼, 피해자가 가해자를 철저히 믿게 함으로써(즉 덩치를 불리고) 옴짝달싹 못하게 하고 돈을 빼앗는 것(즉 도살하는 것)이라고 할 수 있습니다. 대부분은 허위 투자로 유도하기 위해 신뢰를 쌓는데, 암호화폐와 관련된 경우가 많고, 피해자는 대부분 전 재산을 잃는 수준의 피해를 입습니다.”
이 돼지 도살 공격은 코로나 기간 동안 아시아 태평양 지역에서 급부상했다. 이 지역 내 여러 범죄 조직들이 각종 온라인 사기 공격을 실시할 때 너도 나도 돼지 도살 공격을 도입한 것이다. 이들은 본격적으로 사기를 치기 위한 콜센터도 운영하고 있는데, 메타는 이를 ‘사기 센터’라고 부른다. “이 사기 센터들은 주로 아시아에 기반을 두고 있지만 전 세계 사람들을 대상으로 공격을 감행합니다. 주로 지나치게 좋은 구직 공고를 통해 순진한 구직자를 유인한 뒤 강제로 자신들의 범죄 행위에 가담시키는데, 이 때 신체적 폭력을 가할 때가 많습니다.”
미국의 평화연구소에 따르면 이러한 범죄 조직에 의해 약 30만 명이 강제로 사기 행위에 동원되며, 2023년 기준 전 세계에 연간 약 640억 달러가 이러한 범죄 행위로 인해 사라졌다(사기꾼들의 지갑으로 들어갔다)고 한다. 범죄자들에게 속아 강제로 동원되는 사람들이 겪는 심각한 인권 피해와 더불어, 이런 피해자들의 강제 사기 행각에 입는 경제적 피해를 생각했을 때, 이런 돼지 도살 범죄는 반드시 도말되어야 할 사기 유형이라고 할 수 있다.
공격 전술
메타는 초기에 캄보디아의 사기 센터에 집중했으나, 얼마 지나지 않아 라오스와 미얀마, UAE 등으로 범죄 행위가 광범위하게 퍼져 있다는 것을 알고 이들을 전부 추적했다고 한다. “특히 캄보디아의 시하누크빌과 같은 지역은 중국의 범죄 조직들과 연계된 사기 범죄단의 중심지로 알려져 있습니다. 그래서 전문가 및 NGO, 사법 기관들과 긴밀히 협력하여 범죄자들의 사기 센터 운영 방식을 파악했습니다.”
[이미지 = gettyimagesbank]
그러면서 메타는 이들이 어떤 식으로 범죄를 저지르는지 파악할 수 있었다. 이를 정리하면 다음과 같다.
1) 속임수 : 공격자들은 매력적인 싱글로 가장하거나 정부 기관의 영향력 있는 인사, 혹은 유명 인사, 신뢰받는 기업을 사칭한다. 조직들은 철저하게 각본을 짜 이런 가짜 ‘신원’에 신빙성을 부여하는데, 이 단계에서의 치밀함이 혀를 내두르게 할 정도다. 단순히 사기꾼 한두 사람이 연기를 잘 하는 차원에서 실행되는 게 아니라 철저한 준비와 사전 계획, 그리고 꼼꼼한 전략을 가지고 접근하여 목적을 달성한다.
2) 광범위한 접근 : 위의 방법으로 개개인을 1:1로 공략한다면, 자동화 도구를 활용해 대량의 메시지와 이메일을 뿌려 많은 사람들에게 한꺼번에 접근하는 사례도 존재한다. 이럴 때는 피해자에 따라 맞춤형으로 전략을 구사할 수 없어 일반적인 사기꾼들의 접근 방식을 그대로 답습하는 경우가 대부분이다. 다만 이렇게 해서 1차적으로 걸려든 사람들에게는 개인적으로 접근하면서 보다 ‘맞춤형’에 가깝게 전략을 변경한다.
3) 활동 영역 : 공격자들이 주로 피해자들을 만나 속이는 곳은 데이팅 플랫폼, 소셜미디어, 메시징 앱이었다. 여기서 관계에 진전이 있으면 전화번호를 주고받은 후 문자 메시지로 소통을 이어가기도 한다. 그러면서 피해자와 가해자는 더 깊은 신뢰 관계를 형성하게 되는데, 때가 됐다 싶으면 공격자는 장소를 특정 투자 플랫폼이나 암호화폐 플랫폼으로 옮긴다. 당연하지만 대부분 가짜이고, 공격자가 제어하는 플랫폼들이다.
4) 점진적인 배신 : 아무리 신뢰가 쌓였다 한들 ‘온라인 관계’에서 한꺼번에 많은 돈을 빼돌리기란 쉽지 않다. 그래서 초기에는 소액의 거래를 하고, 약속을 지킨다. 적은 돈을 잠깐 빌리고 이자까지 쳐서 갚아주는 식이다. 혹은 소액의 투자를 유치한 뒤 그에 대한 이익을 돌려주기도 한다. 그러면서 신뢰를 더 두텁게 만드는데, 그러다가 어느 날 큰 돈을 요구하기 시작한다. 전에 쌓인 신뢰 관계 때문에 돈을 투자하거나 빌려주면 사기꾼들은 그 길로 사라진다.
“이렇게 조직적으로 운영되는 사기 센터는 전 세계에 매년 수십억 달러의 피해를 초래합니다. 현대 사회에 있어 대단히 심각한 위협이라고 할 수 있습니다. 게다가 이들은 피해자들을 강제로 동원하여 또 다른 피해자들을 만들고 있기도 합니다. 물리적인 조직 범죄와 사이버적인 조직 범죄가 융합된 형태라고 할 수 있습니다. 따라서 이런 작전에 대한 정보를 민관이 공유하여 범죄를 보다 적극적으로 억제할 필요가 있습니다.” 메타의 설명이다.
어떻게 대응했나?
이런 범죄 조직의 움직임을 파악한 뒤에도 메타는 2년 동안 계속해서 이들을 추적해왔다고 한다. “그 결과 이들의 사기 행각이 벌어지는 주요 거점들을 파악할 수 있었고, 전담 팀과 전담 시스템을 구축해오기도 했습니다. 또한 메타 내외의 주요 파트너들과 협력하여 다양한 사기 시도를 미리 탐지해 훼방하기도 했습니다. 그저 지켜만 본 게 아니라 이들이 실질적으로 피해를 일으키지 못하게 막기도 했던 것입니다.”
[이미지 = gettyimagesbank]
메타는 위험성이 높은 사용자들을 따로 관리하기 위해 ‘위험 단체 및 개인(DOI)’이라는 이름의 정책을 새롭게 마련했다고 한다. 그리고 이 정책에 근거하여, 여러 조사와 분석, 외부 전문가와의 협의를 통해 ‘사기 범죄에 연루되어 있다’고 판단을 내릴 만한 계정들을 DOI로 지정하는 작업을 꾸준히 해왔다. “DOI로 지정된 단체나 개인은 메타의 플랫폼에서 차단되며 다양한 조치의 대상이 됩니다.”
여기서 말하는 ‘다양한 조치’ 중 하나는 이 DOI들이 감시와 규제를 피해가려는 시도를 할 때 이를 탐지하는 것이다. 즉 더 이상 메타에서 활동할 수 없게 된 공격자들이 여러 가지 수법을 동원해 메타 플랫폼에 새롭게 진입하려 할 때 그 노력을 무산시키는 것이다. “이런 활동을 통해 플랫폼을 보다 깨끗하게 지킬 뿐만 아니라 공격자들의 거점이나 전략을 새롭게 파악하게 되기도 합니다. 이 과정을 통해 캄보디아, 미얀마, 라오스, UAE, 필리핀에서 만들어진 계정 200만 개 이상을 삭제할 수 있었던 것입니다.”
하지만 메타 혼자서 이 범죄자들 전부를 막을 수는 없었다. 든든한 파트너십이 필요했다. “사기 조직들은 지속적으로 공격을 시도하며, 자원이 풍부합니다. 또한 감시 망을 벗어나기 위해 끊임없이 진화하고 있기도 합니다. 이들은 국경을 초월하여 활동하며, 여러 인터넷 플랫폼에 걸쳐 있음으로 독단적인 작전으로 이들을 검거하거나 훼방하기 힘들다는 특성 또한 가지고 있습니다. 그렇기에 메타는 전 세계적으로, 각계 각층의 조직들과 연계해 이들을 추적하고 방해해야만 했습니다.”
그 파트너십 중에서도 가장 중요한 건 법 집행 기관과 협력하는 것이었다. 아무리 거대한 플랫폼을 보유한 기업이라 하더라도 법적 권한까지 가지고 있는 건 아니었기 때문이다. “전 세계의 법 집행 기관과 협력하여 사기 센터를 운영하는 돼지 도살 범죄 조직이 산업적으로 성장하지 못하게 억제하려 하고 있습니다. 저희가 저희 플랫폼에서 얻는 통찰과 정보를 집행 기관들에 제공하여 이들이 자국민과 공동체를 보호하도록 돕고 있습니다. 덕분에 저희 플랫폼도 더 깨끗해지는 것이고요.”
같은 산업에 종사하는 다른 기업들과의 파트너십도 중요했다. 왜냐하면 범죄 조직들이 메타의 플랫폼만 악용하는 게 아니었기 때문이다. 그들은 다른 소셜미디어에서도 왕성하게 활동했고, 메타는 그러한 소셜미디어 업체들과의 협력을 통해 더 나은 통찰을 얻기도 하고, 위험의 확산을 막기도 했다. “예를 들어 최근 캄보디아에서 새롭게 사기 센터 하나가 만들어진 적이 있었습니다. 그곳에서는 일본어와 중국어를 사용하는 사람들을 겨냥한 범행이 주로 자행되었습니다. 저희는 오픈AI(OpenAI)와의 협업을 통해 이들이 사기 콘텐츠를 일본어와 중국어로 제대로 번역하지 못하도록 방해할 수 있었습니다.”
더 나아가 메타는 사기 방지를 위한 글로벌 회의를 개최하기도 했다. ‘테크어갠스트스캠콜리션(Tech Against Scams Coalition)’이 바로 그것이었다. 온라인 사기 범죄 조직에 대응하기 위한 국제적 회의로 메타가 공동 주최했다. “이 회의에는 국제적인 법 집행 기관과 정부 관계자들, NGO와 기술 기업들의 전문가들이 참석했습니다. 돼지 도살과 같은 온라인 사기 공격이 초국가적 위협이라는 데에 동의하여 대처 방안을 논의했습니다.” 여기에는 다른 여러 사기업들도 참여하고 있다.
안전한 온라인 생활을 위한 7가지 팁
메타는 이러한 경험들을 바탕으로 사용자들을 위한 ‘안전 팁 7개’를 정리해 공유하기도 했다. 이는 다음과 같다.
[이미지 = gettyimagesbank]
1) 이중인증은 계정을 강력하게 보호한다 : “이중인증이라고 해서 만능이면서 완벽한 보안 기능이라고 할 수는 없습니다. 하지만 비밀번호 하나로 지키는 것보다는 훨씬 더 낫습니다. 이 옵션 하나로 얻는 이득이, 이 옵션을 켬으로써 얻는 귀찮음보다 비교도 할 수 없을 정도로 큽니다.”
2) 셀피 인증도 강력하다 : “특정 이유로 계정에 접근할 수 없게 되었을 경우, 셀피 인증을 통해 본인만이 계정에 다시 접근할 수 있게 하는 ‘셀피 인증’ 옵션 역시 많은 도움이 됩니다.”
3) 정부 웹사이트를 사칭하는 사기, 생각보다 많다 : “공식 정부 웹사이트처럼 보이는 사기 사이트를 공격자들은 생각보다 많이 만들고, 많이 사용합니다. 보통 정부 사이트는 개인정보를 활용한 로그인을 하도록 되어 있죠. 공격자들이 이런 사이트를 흉내 내는 것도, 개인정보를 훔치기 위해서입니다. 따라서 정부 사이트에 접속할 때면 확인에 확인을 거듭해야 합니다.”
4) 믿기 어려운 혜택은 믿지 말아야 한다 : “할인률이든 근무 조건이든, 일반적으로 알던 것보다 훨씬 좋아서 사지 않거나 지원하지 않으면 후회할 것만 같은 건 가짜일 확률이 높습니다. 실제로 많은 피싱 공격자들이 말도 안 되는 혜택을 조건으로 내걸면서 사람들을 속입니다. 여기에 속는 사람들도 상당히 많고요. 반드시 다른 경로라도 사실을 확인하는 게 중요합니다.”
5) 연예인이 광고에 나온다고 다 믿으면 안 된다 : “잘 알려진 연예인은 자동으로 ‘신뢰’라는 감정을 이끌어냅니다. 그래서 기업들이 연예인을 자주 기용하는 것이죠. 범죄자들도 마찬가지입니다. 이들은 연예인 사진을 허락도 없이 도용하여 사람들의 링크 클릭을 유도하는 전략을 자주 씁니다.”
6) 돈을 요구하는 상대, 주의하라 : “당신과 어떤 관계에 있는 사람이든, 온라인 상으로 돈을 요구하기 시작한다면 일단 의심부터 하는 게 좋습니다. 공격자들의 궁극적 목적은 돈이기 때문에 무슨 관계가 어떻게 형성되었든 결국 ‘돈 요구’로 귀결됩니다. 특히 실제로 얼굴을 본 적은 없고 온라인 친분만 있는 사람에게 돈을 빌려주는 행위는 절대로 해서는 안 됩니다.”
7) 유명 브랜드도 자주 사칭된다 : “신뢰를 얻기 위해 공격자들이 하는 일 중에는 유명 브랜드를 사칭하는 것도 있습니다. 진짜 로고도 가져다 쓰기 때문에 깜빡하면 속기 십상입니다. 다만 사칭범들의 경우 철자나 문법에서 오류를 잘 내기도 하니, 이를 눈여겨 보면 좋습니다. 또한 지나친 할인 소식이 곁들여졌을 경우 더 깊은 의심이 필요합니다.”
마이크로소프트, 사이버 범죄자들을 겨냥해 공급망 공격을 실시
한편 MS도 피싱 공격에 사용되던 웹사이트 240여 개를 무력화시킴으로써 공격자의 중요한 ‘공격 인프라’를 망가트리는 데 성공했다고 발표했다. MS의 추적을 받은 건 이집트에 근거지를 두고 활동하는 사이버 범죄자인 아바눕 나디(Abanoub Nady)라는 인물로, 온라인 상에서는 ‘미스터엑스코더(MRxC0DER)’라는 이름으로 활동하는 자였다.
[이미지 = gettyimagesbank]
“미스터엑스코더는 공격자들이 스스로 피싱 공격을 기획하고 실행할 수 있도록 해 주는 피싱 키트를 개발하고 판매했습니다. 오넥스(ONNX)라는 브랜드를 사칭하여 이러한 서비스를 제공하고 있었지요.” MS의 설명이다. 공격자들은 미스터엑스코더로부터 피싱 키트를 사서 자신들만의 피싱 공격을 감행했다. 즉 그는 피싱 공격이라는 거대한 생태계의 시작점에 있던 자였던 것이다. 그러므로 이 자에게 타격을 주면 적잖은 피싱 공격자들이 영향을 받을 터였다.
“그에게서 물건을 산 공격자들은 거의 대부분 금융 기관들을 표적으로 삼아 공격을 실시했습니다. 성공한 사례들도 있습니다. 막대한 금전적 피해를 입은 사람들이 여기 저기서 나타났습니다. 평생 저축해온 돈을 한꺼번에 잃은 경우도 있었습니다. 안타깝게도 이러한 금전적 피해는 사실상 복구가 불가능할 때가 많습니다. 따라서 이 자에게 조치를 취하는 게 대단히 중요한 일이 되었습니다.”
사실 다크웹에는 피싱 공격을 보다 쉽고 간편하게 만들어주는 키트들이 여럿 존재한다. 그런 키트를 만들어 파는 자들도 상당히 많다. “서비스형 피싱은 이미 어엿한 하나의 산업으로 자리를 잡았습니다. 그 중에서도 오넥스가 차지하는 비중은 작지 않았습니다. 2024년에 저희가 조사한 바에 따르면 이메일 발송량 기준 상위 5대 피싱 키트 제공자 중 하나가 오넥스였습니다.” 나디는 여러 동업자들과 오넥스를 하나의 기업처럼 운영하고 있었다.
오넥스, 어떻게 운영됐나
MS는 나디의 활동을 2017년까지 거슬러 올라가 추적했다. 그러면서 나디는 오넥스만이 아니라 카페인(Caffeine), 보다 최근에는 퓨어러(FUHRER)이라는 이름을 사용해 사업을 진행하기도 했다는 걸 알아냈다. “나디가 만든 피싱 키트는 대규모 이메일 발송에 최적화 되어 있습니다. 구매자들은 기본, 전문가용, 기업용 중에서 하나를 택하여 구독할 수 있었으며, 무제한 VIP 지원과 같은 부가 서비스를 통해 각종 범죄 실행 팁과 튜토리얼을 제공하기도 했습니다.”
피싱 키트는 주로 텔레그램의 비밀 채널을 통해 홍보되거나 판매됐다. 그 외 다른 소셜미디어 플랫폼에서도 구매 및 사용 방법 안내 영상을 게시한 적이 있다. “이런 경로를 통해 피싱 키트를 구매한 사이버 범죄자는 템플릿과 공격 인프라에 대한 접속 권한을 받게 됩니다. 그리고 이를 이용해 자기가 원하는 피싱 공격을 실행할 수 있지요. 즉 이번에 무력화시킨 240개 웹사이트가 오넥스 고객들이 이용하던 플랫폼이면서 동시에 오넥스의 밥줄이었다고 할 수 있습니다. 그것이 한꺼번에 사라졌으니 오넥스는 물론 고객들도 곤란하게 된 것입니다.”
정교해지는 피싱
MS는 오넥스가 기승을 부리고 있다는 건 사이버 위협이 점점 정교해지고 있다는 걸 나타낸다고 해석한다. “특히 ‘중간자 공격’이라는 유형의 피싱 기술이 두드러지고 있다는 걸 보여주죠. 기업과 기관들이 나름 보안을 강화하면서 피싱 공격은 실질적으로 어려워지고 있고, 그렇기 때문에 현존하는 방어 시스템들을 우회하기 위해 중간자 공격이 공격자들 사이에서 빠르게 도입되는 중입니다. 중간자 공격이란, 공격자가 네트워크 통신에 몰래 침입하여 사용자의 크리덴셜이나 세션 쿠키를 훔침으로써 인증 과정을 통과하거나 우회하고 나서 사용자의 통신을 가로채는 것을 말합니다.” 참고로 MS는 올해 이 중간자 공격이 146% 증가했다고 집계하고 있다.
[이미지 = gettyimagesbank]
방어가 탄탄해지고 있어 새로운 피싱 기법도 등장하고 있다. 그 중 하나가 큐알코드 피싱이다. 퀴싱(Quishing)이라고도 한다. “퀴싱은 큐알코드를 이용하여 사용자가 가짜 로그인 페이지에 접속하여 로그인 정보를 입력하도록 유도하는 기법입니다. 2023년 9월부터 이런 유형의 공격 기법이 크게 증가했습니다. 전체 이메일 피싱의 약 25%를 차지할 정도입니다. 큐알코드는 맨눈으로 읽기 힘들어 아무리 사용자를 훈련시킨다 한들 예방하기가 어렵습니다. 큐알코드를 이용한 공격은 보안 업계의 새로운 과제라고 할 수 있습니다.”
물론 이것으로 나디가 완전히 사이버 범죄 업계에서 은퇴하는 건 아니다. 오넥스나, 그에 준하는 서비스가 다시 등장하는 것도 시간 문제일 뿐이다. “이번 한 번의 성공으로 오넥스 혹은 나디의 범죄가 완전히 근절된 건 아닙니다. 지속적으로 그를 추적해 새로운 인프라를 무력화시키고, 새로운 기술에 늦지 않게 대응하는 등 꾸준한 노력을 병행해야 합니다. 뿐만 아니라 오넥스나 나디를 모방하려는 새로운 공격자의 출현에도 대비해야 할 것입니다.”
협력의 중요성
MS는 사이버 범죄자들은 ‘산업 단위’로 움직이기 때문에 방어하는 입장에서도 ‘산업 단위’로 방어해야 한다고 주장한다. 즉 산업 내 혹은 산업 간 협력이 필수불가결의 요소라는 것이다. “각 기업이나 기관, 개인 모두 최신 정보를 습득하고 경계를 늦추지 말아야 합니다. 더불어 강력한 보안 기능을 구축 및 실행하여 사이버 환경을 모두가 개선해 나아가야 합니다. 공동의 노력 없이, 개개인의 힘으로 사이버 범죄를 막을 수 있는 단계는 이미 지났습니다.”
무력화나 체포, 서버 압수 등의 조치가 사이버 범죄를 영구히 근절시키지 못하더라도 계속해서 무력화하고, 체포하고, 서버를 압수해야 한다고 MS는 주장하기도 한다. “왜냐하면 그런 사법적 활동이 사이버 범죄자들에게 강력한 메시지가 되기 때문입니다. 체포의 위험이 있다, 누군가 나를 추적하고 있다는 리스크가 없다면 공격자들은 지금보다 더 날뛸 겁니다. 최소한의 눈치는 보게 해야 어느 정도 억제 효과가 날 것입니다. 그렇기 때문에 꾸준히 이들을 체포하고 무력화시킬 필요가 있습니다.”
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
