석유 산업 털어서 자라나는 해커들…1년 만에 질과 양의 급부상
대다수가 고졸 이상의 남성들…기술에 능숙하고 공격적으로 임무 실행
[보안뉴스 문가용 기자] 올 한 해 중동과 북아프리카 지역에서의 랜섬웨어 감염율이 233%나 증가했다. 그 지역에서 발생하는 사이버 범죄의 수준과 양이 급속도로 높아지고 있는 데에 따른 현상이다. 지난 해까지만 해도 이 두 지역의 사이버 범죄자들은 공격 툴이나 악성 문건을 무료로나 저렴하게 공유하는 것이 활동의 거의 전부였다.
[이미지 = iclickart]
보안 업체 트렌드 마이크로(Trend Micro)는 이 두 지역의 사이버 범죄자들이 빠르게 성장했음을 발표하면서, “텔레그램(Telegram) 메시지 앱을 통해 범죄자들 간 통신이 원활하게 이뤄지고 있으며, 돈세탁 등의 범죄 사업들도 여러 통신 보안 기술을 통해 보호받고 있다”고 설명했다. “돈세탁 활동이 늘어났다는 건 떳떳하지 못한 돈의 유통량이 늘어났다는 뜻입니다.” 트렌드 마이크로의 글로벌 위협 담당자인 존 클레이(Jon Clay)의 설명이다. “돈이 유입되고 있다는 건, 산업 자체가 커지고 있다는 것이죠.”
트렌드 마이크로가 주목하고 있는 건, 사이버 범죄자들의 통신 수단이 이메일, 스카이프, 페이스북 메신저에서부터 점점 텔레그램이나 왓츠앱(WhatsApp)처럼 암호화가 되는 기술로 옮겨가고 있다는 것이다. “이런 수단의 발전 때문에 좀 더 비싸고 규모가 큰 범죄 작전을 실시할 수 있습니다. 현재 중동과 북아프리카 지역의 암시장에는 유럽 은행이나 페이팔, 웨스턴 유니온을 사용해 돈을 옮겨주는 서비스도 광범위하게 마련되어 있는데요, 모두 암호화 통신 사용률이 늘어났기 때문입니다.”
공격 툴 거래 역시 아직 활발하다. SQL 인젝션 툴, 키로거, SCADA 장비의 포트 번호 해킹 매뉴얼이 2017년의 대표 아이템이었고, 당시는 무료로 거래됐다. 이번에 조사된 바로는 워너크라이(WannaCry) 랜섬웨어 샘플이 50달러에 판매되기 시작했다. 클레이는 “1차원적인 툴이 여태까지 시장의 주류 아이템이었고, 아직도 활발히 거래되고 있지만, 보다 은밀하고 전문적인 공격 인프라에 대한 수요가 늘어나고 있다”고 설명한다. “암호화 통신을 통해 거래를 하는 것이 가장 큰 변화입니다. 여태까지는 무료 통신 툴을 사용하는 게 보통이었습니다.”
랜섬웨어 공격이 크게 늘어난 이면에, 디도스 공격과 웹사이트 변조 공격이 여전한 인기를 누리고 있기도 했다. “디도스와 웹사이트 변조 공격은 핵티비스트들 사이에서 인기가 높았던 공격 방법이었는데, 지금 막 성장하고 있는 암시장의 해커들이 이 방법을 사용해 범죄 행각을 늘려간다는 건 흥미로운 일입니다.”
사이버 범죄가 늘어난다는 건, 피해자가 발생한다는 뜻이다. “이 지역의 가장 큰 피해자는 예전이나 지금이나 석유 및 가스 산업입니다. 중동과 북아프리카에서 발생하는 사이버 공격의 절반 이상이 석유 및 가스 산업에서 발생합니다. 이 지역에서 으뜸인 산업이고, 풍부한 자원을 보유하고 있으니 당연한 일입니다. 또한 사업 특성상 랜섬웨어나 디도스 공격에 의해 잠시라도 마비될 수 없는 곳이기도 합니다. 그렇다는 건 협박을 받았을 때 돈을 낼 확률이 높다는 겁니다.”
이 모든 현상은 결국 사법 기관의 사이버 범죄 수사 능력도 발전시켰다. 하지만 이 점은 양날의 칼처럼 작용하고 있다. 일정 부분 사이버 범죄를 억제하기도 하지만, 동시에 사이버 범죄자들의 능력 배양의 필요를 증대시키고 있기 때문이다. 숨기 위해서 실력을 키울 필요가 생겼다는 것이다. 트렌드 마이크로에 의하면 “아직까지 이런 범죄 활동의 성장 배경에 정부의 입김이 확연하게 발견되지는 않았다”고 한다. “활동이 왕성해지고 있는 공격자들을 분석했을 때, 주로 젊은 남성들이 발견됩니다. 고등학교나 대학교를 마친 사람들이고, 신기술에 익숙하며, 공격적으로 자기 할 일을 하는 부류들입니다. 다만 기술이 완숙한 단계까지는 아직 아닙니다.”
우리는 중동이나 아프리카 사람이 아닌데?
그럼 이게 중동과 아프리카 시장만의 문제일까? 아니다. 국제적인 사이버 범죄 현황에 심상치 않은 것이 추가되었다는 뜻이다. 특히 무슬림을 배경으로 하는 사이버 범죄자들이 늘어났다는 뜻인데, 이러면 미국과 서유럽 국가에 대한 위협 요소가 증가했다고 봐도 무방하다. 클레이 역시 “미국 조직들에 대한 공격이 앞으로도 늘어날 것으로 보인다”고 분석한다. “미국에서는 현재 석유와 가스 관련 조직들이 생겨나고 있습니다. 중동의 조직들이 이걸 견제하려고 할 것입니다.”
이미 중동과 북아프리카 지역에서는 아랍어는 물론 영어로 된 지하 포럼이 존재한다고 트렌드 마이크로의 수석 분석가인 메이라 로자리오 푸엔테스(Mayra Rosario Fuentes)는 설명을 추가했다. “다른 언어권 포럼이 하나 둘 생겨난다는 건 여기서 자란 공격자들이 세계 무대로 뛰어들 준비가 됐다는 뜻입니다. 사이버 공격에 언제는 국경이라는 개념이 있었던가요. 어디라도 해커들이 자란다는 건 세계인 모두가 위험해진다는 뜻입니다.”
푸엔테스는 “중동과 북아프리카는 세계 사이버 범죄 시장의 요주의 지역으로 성장할 것”이라고 예상하고 있다. “그말은 중동과 북아프리카의 각 정부 기관 및 사법 기관들이 사이버 범죄자들을 적극 체포할 수 있는 법 체계를 마련하고 수사 능력을 키워야 한다는 뜻이 됩니다. 또한 각종 업체나 조직들의 사이버 보안 능력 강화도 필수적인 요소가 되었습니다.”
3줄 요약
1. 중동과 북아프리카, 떠오르는 해커들의 온상.
2. 석유 산업이 가장 큰 피해 입고 있고, 곧 미국을 위시로 한 세계 여러 나라로 퍼져갈 전망.
3. 중동/북아프리카 정부의 해킹 수사 능력 강화되어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
대다수가 고졸 이상의 남성들…기술에 능숙하고 공격적으로 임무 실행
[보안뉴스 문가용 기자] 올 한 해 중동과 북아프리카 지역에서의 랜섬웨어 감염율이 233%나 증가했다. 그 지역에서 발생하는 사이버 범죄의 수준과 양이 급속도로 높아지고 있는 데에 따른 현상이다. 지난 해까지만 해도 이 두 지역의 사이버 범죄자들은 공격 툴이나 악성 문건을 무료로나 저렴하게 공유하는 것이 활동의 거의 전부였다.
[이미지 = iclickart]
보안 업체 트렌드 마이크로(Trend Micro)는 이 두 지역의 사이버 범죄자들이 빠르게 성장했음을 발표하면서, “텔레그램(Telegram) 메시지 앱을 통해 범죄자들 간 통신이 원활하게 이뤄지고 있으며, 돈세탁 등의 범죄 사업들도 여러 통신 보안 기술을 통해 보호받고 있다”고 설명했다. “돈세탁 활동이 늘어났다는 건 떳떳하지 못한 돈의 유통량이 늘어났다는 뜻입니다.” 트렌드 마이크로의 글로벌 위협 담당자인 존 클레이(Jon Clay)의 설명이다. “돈이 유입되고 있다는 건, 산업 자체가 커지고 있다는 것이죠.”
트렌드 마이크로가 주목하고 있는 건, 사이버 범죄자들의 통신 수단이 이메일, 스카이프, 페이스북 메신저에서부터 점점 텔레그램이나 왓츠앱(WhatsApp)처럼 암호화가 되는 기술로 옮겨가고 있다는 것이다. “이런 수단의 발전 때문에 좀 더 비싸고 규모가 큰 범죄 작전을 실시할 수 있습니다. 현재 중동과 북아프리카 지역의 암시장에는 유럽 은행이나 페이팔, 웨스턴 유니온을 사용해 돈을 옮겨주는 서비스도 광범위하게 마련되어 있는데요, 모두 암호화 통신 사용률이 늘어났기 때문입니다.”
공격 툴 거래 역시 아직 활발하다. SQL 인젝션 툴, 키로거, SCADA 장비의 포트 번호 해킹 매뉴얼이 2017년의 대표 아이템이었고, 당시는 무료로 거래됐다. 이번에 조사된 바로는 워너크라이(WannaCry) 랜섬웨어 샘플이 50달러에 판매되기 시작했다. 클레이는 “1차원적인 툴이 여태까지 시장의 주류 아이템이었고, 아직도 활발히 거래되고 있지만, 보다 은밀하고 전문적인 공격 인프라에 대한 수요가 늘어나고 있다”고 설명한다. “암호화 통신을 통해 거래를 하는 것이 가장 큰 변화입니다. 여태까지는 무료 통신 툴을 사용하는 게 보통이었습니다.”
랜섬웨어 공격이 크게 늘어난 이면에, 디도스 공격과 웹사이트 변조 공격이 여전한 인기를 누리고 있기도 했다. “디도스와 웹사이트 변조 공격은 핵티비스트들 사이에서 인기가 높았던 공격 방법이었는데, 지금 막 성장하고 있는 암시장의 해커들이 이 방법을 사용해 범죄 행각을 늘려간다는 건 흥미로운 일입니다.”
사이버 범죄가 늘어난다는 건, 피해자가 발생한다는 뜻이다. “이 지역의 가장 큰 피해자는 예전이나 지금이나 석유 및 가스 산업입니다. 중동과 북아프리카에서 발생하는 사이버 공격의 절반 이상이 석유 및 가스 산업에서 발생합니다. 이 지역에서 으뜸인 산업이고, 풍부한 자원을 보유하고 있으니 당연한 일입니다. 또한 사업 특성상 랜섬웨어나 디도스 공격에 의해 잠시라도 마비될 수 없는 곳이기도 합니다. 그렇다는 건 협박을 받았을 때 돈을 낼 확률이 높다는 겁니다.”
이 모든 현상은 결국 사법 기관의 사이버 범죄 수사 능력도 발전시켰다. 하지만 이 점은 양날의 칼처럼 작용하고 있다. 일정 부분 사이버 범죄를 억제하기도 하지만, 동시에 사이버 범죄자들의 능력 배양의 필요를 증대시키고 있기 때문이다. 숨기 위해서 실력을 키울 필요가 생겼다는 것이다. 트렌드 마이크로에 의하면 “아직까지 이런 범죄 활동의 성장 배경에 정부의 입김이 확연하게 발견되지는 않았다”고 한다. “활동이 왕성해지고 있는 공격자들을 분석했을 때, 주로 젊은 남성들이 발견됩니다. 고등학교나 대학교를 마친 사람들이고, 신기술에 익숙하며, 공격적으로 자기 할 일을 하는 부류들입니다. 다만 기술이 완숙한 단계까지는 아직 아닙니다.”
우리는 중동이나 아프리카 사람이 아닌데?
그럼 이게 중동과 아프리카 시장만의 문제일까? 아니다. 국제적인 사이버 범죄 현황에 심상치 않은 것이 추가되었다는 뜻이다. 특히 무슬림을 배경으로 하는 사이버 범죄자들이 늘어났다는 뜻인데, 이러면 미국과 서유럽 국가에 대한 위협 요소가 증가했다고 봐도 무방하다. 클레이 역시 “미국 조직들에 대한 공격이 앞으로도 늘어날 것으로 보인다”고 분석한다. “미국에서는 현재 석유와 가스 관련 조직들이 생겨나고 있습니다. 중동의 조직들이 이걸 견제하려고 할 것입니다.”
이미 중동과 북아프리카 지역에서는 아랍어는 물론 영어로 된 지하 포럼이 존재한다고 트렌드 마이크로의 수석 분석가인 메이라 로자리오 푸엔테스(Mayra Rosario Fuentes)는 설명을 추가했다. “다른 언어권 포럼이 하나 둘 생겨난다는 건 여기서 자란 공격자들이 세계 무대로 뛰어들 준비가 됐다는 뜻입니다. 사이버 공격에 언제는 국경이라는 개념이 있었던가요. 어디라도 해커들이 자란다는 건 세계인 모두가 위험해진다는 뜻입니다.”
푸엔테스는 “중동과 북아프리카는 세계 사이버 범죄 시장의 요주의 지역으로 성장할 것”이라고 예상하고 있다. “그말은 중동과 북아프리카의 각 정부 기관 및 사법 기관들이 사이버 범죄자들을 적극 체포할 수 있는 법 체계를 마련하고 수사 능력을 키워야 한다는 뜻이 됩니다. 또한 각종 업체나 조직들의 사이버 보안 능력 강화도 필수적인 요소가 되었습니다.”
3줄 요약
1. 중동과 북아프리카, 떠오르는 해커들의 온상.
2. 석유 산업이 가장 큰 피해 입고 있고, 곧 미국을 위시로 한 세계 여러 나라로 퍼져갈 전망.
3. 중동/북아프리카 정부의 해킹 수사 능력 강화되어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 TH.png)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
