POS 집중 공략...이미 접근 성공한 범죄자나 실제 근무자 모집
파트너십과 아웃소싱 통해 범죄의 규모만 늘여
[보안뉴스 문가용 기자] 작은 규모지만 매우 특화되어 있는 사이버 범죄 조직의 형태를 보안 전문업체인 파이어아이(FireEye)가 최근 발견했다. 사이버 지하 조직의 전문화가 어느 정도 심화되고 있는지를 살펴볼 수 있는 지표라고 파이어아이는 분석했다.
파이어아이에 의하면 이 갱단은 단 2명으로 구성되어 있으며 신용카드 정보 거래를 전문으로 한다. 파이어아이는 이들에게 벤데타 브라더스(Vendetta Brothers)라고 이름을 붙였으며, “양지에 있는 정식 기업 조직들과 매우 흡사한 형태로 사업을 진행한다”고 한다.
벤데타 브라더스는 올해 초반부터 각종 지불카드 정보를 대규모로 수집하기 시작했는데, 그 출처의 규모가 41개국 639개 은행에 달했다. 아웃소싱과 리드발굴(lead generation)과 같은 정식 사업체의 전략 등을 활용한 것으로 알려졌다.
벤데타 브라더스가 현재 거래하고 있는 카드 정보의 원래 주인들은 대부분 미국, 노르웨이, 스웨덴, 핀란드 순으로 많다. 파이어아이는 “아직 벤데타 브라더스의 정확한 위치는 추적 중에 있지만 스페인과 동유럽이 가장 의심된다”고 설명하고 있다.
파이어아이의 첩보 분석가인 윌 글래스(Will Glass)는 “벤데타 브라더스가 사업을 확장시켜온 방식이 흥미롭다”고 설명한다. “겨우 2명이서 사업을 대단위로 키우고 다양한 전략을 사용한 것이 발견되었는데, 핵심은 아웃소싱과 파트너십이었습니다.”
즉, 여러 다른 범죄 단체로부터 힘을 빌리는 것이 이들의 특기라면 특기인데, “그렇기 때문에 고작 두 명으로 구성된 범죄자 단체를 알리려고 이번 보고서를 작성했다.” 이제 범죄 단체의 규모만 보고 어느 정도 수준의 범죄를 저지를 수 있을지 판단할 수 없는 때까지 왔다는 뜻. “아웃소싱과 파트너십을 통해 얼마든지 큰 범죄를 저지를 수 있으면서 동시에 작기 때문에 숨기에도 용이하죠. 작은 덩치를 유지하는 것 자체도 하나의 전략입니다.”
현재 이 둘은 지하의 웹사이트를 운영하며 훔친 신용카드 정보를 판매 중에 있다. 약 1만 여개의 카드가 거래되고 있는데, 이 역시 다른 판매상들과 비교해 작은 규모다. 하지만 드롭다운 메뉴를 통해 특정 은행이나 국가의 정보를 쉽게 선택할 수 있도록 해놓기도 했다.
벤데타 브라더스는 카드 정보의 출처를 다양화 하기 위해 몇 가지 방법을 사용했는데, 하나는 이미 원격에서 POS 단말기에 대한 접근 성공한 사이버 범죄자들과 파트너십을 맺는 것이었다. 벤데타 브라더스는 POS 출입권을 획득하는 대신 카드정보를 훔치는 멀웨어를 제공한 것으로 알려져 있다.
“지하 포럼에 구인 광고를 하고 있더군요. POS 시스템에 접근할 수 있지만 정보를 수집할 멀웨어가 없는 해커들을 찾고 있었습니다.” 글래스의 설명이다. 비슷한 맥락에서 아예 POS와 관련되어 있는 직무를 가진 사람을 찾아 나서기도 했다. “POS에 물리적인 접근을 할 수 있도록 실제 근무자를 매수하려 한 것이죠. 아웃소싱 한 겁니다.”
이렇게 사람을 모으니 효과적으로 사업을 확장할 수 있었다. “POS에 대한 접근 자체는 이렇게 파트너십이나 외주로 해결하고, 자기들은 전체 범죄 기획, 운영 및 멀웨어 제작과 같은 어려운 일에 집중하고 있더군요. 동시에 실제 POS 단에서는 자기들 스스로를 격리시켜 놓고요. 안전하게 핵심 브레인 역할을 하고 있었다고 이해하면 됩니다.”
벤데타 브라더스가 직접 시스템에 침입한 경우도 있었다. 이럴 때는 파트너들이 수집한 정보를 활용해 ‘채용에 관해 궁금한 것이 있다’는 식으로 담당자에게 악성 메일을 보내는 방법을 썼다. 이런 메일들에는 악성 첨부 파일이 있어 사용자가 여는 순간 POS 시스템을 찾아서 감염시킬 수 있었다.
“아마 벤데타 브라더스만의 독특한 전략은 아닐 거라고 봅니다. 많은 범죄자들이 비슷한 전략을 사용하고 있을 가능성이 높죠. 벤데타 브라더스는 지하의 조직들이 얼마나 기업화되어 있는지를 보여주는 예입니다. 치밀하고 계산적이며, 합리적으로 변모하고 있어요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
파트너십과 아웃소싱 통해 범죄의 규모만 늘여
[보안뉴스 문가용 기자] 작은 규모지만 매우 특화되어 있는 사이버 범죄 조직의 형태를 보안 전문업체인 파이어아이(FireEye)가 최근 발견했다. 사이버 지하 조직의 전문화가 어느 정도 심화되고 있는지를 살펴볼 수 있는 지표라고 파이어아이는 분석했다.
파이어아이에 의하면 이 갱단은 단 2명으로 구성되어 있으며 신용카드 정보 거래를 전문으로 한다. 파이어아이는 이들에게 벤데타 브라더스(Vendetta Brothers)라고 이름을 붙였으며, “양지에 있는 정식 기업 조직들과 매우 흡사한 형태로 사업을 진행한다”고 한다.
벤데타 브라더스는 올해 초반부터 각종 지불카드 정보를 대규모로 수집하기 시작했는데, 그 출처의 규모가 41개국 639개 은행에 달했다. 아웃소싱과 리드발굴(lead generation)과 같은 정식 사업체의 전략 등을 활용한 것으로 알려졌다.
벤데타 브라더스가 현재 거래하고 있는 카드 정보의 원래 주인들은 대부분 미국, 노르웨이, 스웨덴, 핀란드 순으로 많다. 파이어아이는 “아직 벤데타 브라더스의 정확한 위치는 추적 중에 있지만 스페인과 동유럽이 가장 의심된다”고 설명하고 있다.
파이어아이의 첩보 분석가인 윌 글래스(Will Glass)는 “벤데타 브라더스가 사업을 확장시켜온 방식이 흥미롭다”고 설명한다. “겨우 2명이서 사업을 대단위로 키우고 다양한 전략을 사용한 것이 발견되었는데, 핵심은 아웃소싱과 파트너십이었습니다.”
즉, 여러 다른 범죄 단체로부터 힘을 빌리는 것이 이들의 특기라면 특기인데, “그렇기 때문에 고작 두 명으로 구성된 범죄자 단체를 알리려고 이번 보고서를 작성했다.” 이제 범죄 단체의 규모만 보고 어느 정도 수준의 범죄를 저지를 수 있을지 판단할 수 없는 때까지 왔다는 뜻. “아웃소싱과 파트너십을 통해 얼마든지 큰 범죄를 저지를 수 있으면서 동시에 작기 때문에 숨기에도 용이하죠. 작은 덩치를 유지하는 것 자체도 하나의 전략입니다.”
현재 이 둘은 지하의 웹사이트를 운영하며 훔친 신용카드 정보를 판매 중에 있다. 약 1만 여개의 카드가 거래되고 있는데, 이 역시 다른 판매상들과 비교해 작은 규모다. 하지만 드롭다운 메뉴를 통해 특정 은행이나 국가의 정보를 쉽게 선택할 수 있도록 해놓기도 했다.
벤데타 브라더스는 카드 정보의 출처를 다양화 하기 위해 몇 가지 방법을 사용했는데, 하나는 이미 원격에서 POS 단말기에 대한 접근 성공한 사이버 범죄자들과 파트너십을 맺는 것이었다. 벤데타 브라더스는 POS 출입권을 획득하는 대신 카드정보를 훔치는 멀웨어를 제공한 것으로 알려져 있다.
“지하 포럼에 구인 광고를 하고 있더군요. POS 시스템에 접근할 수 있지만 정보를 수집할 멀웨어가 없는 해커들을 찾고 있었습니다.” 글래스의 설명이다. 비슷한 맥락에서 아예 POS와 관련되어 있는 직무를 가진 사람을 찾아 나서기도 했다. “POS에 물리적인 접근을 할 수 있도록 실제 근무자를 매수하려 한 것이죠. 아웃소싱 한 겁니다.”
이렇게 사람을 모으니 효과적으로 사업을 확장할 수 있었다. “POS에 대한 접근 자체는 이렇게 파트너십이나 외주로 해결하고, 자기들은 전체 범죄 기획, 운영 및 멀웨어 제작과 같은 어려운 일에 집중하고 있더군요. 동시에 실제 POS 단에서는 자기들 스스로를 격리시켜 놓고요. 안전하게 핵심 브레인 역할을 하고 있었다고 이해하면 됩니다.”
벤데타 브라더스가 직접 시스템에 침입한 경우도 있었다. 이럴 때는 파트너들이 수집한 정보를 활용해 ‘채용에 관해 궁금한 것이 있다’는 식으로 담당자에게 악성 메일을 보내는 방법을 썼다. 이런 메일들에는 악성 첨부 파일이 있어 사용자가 여는 순간 POS 시스템을 찾아서 감염시킬 수 있었다.
“아마 벤데타 브라더스만의 독특한 전략은 아닐 거라고 봅니다. 많은 범죄자들이 비슷한 전략을 사용하고 있을 가능성이 높죠. 벤데타 브라더스는 지하의 조직들이 얼마나 기업화되어 있는지를 보여주는 예입니다. 치밀하고 계산적이며, 합리적으로 변모하고 있어요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 th.jpg)
 TH.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
