해커나 인터넷상 불법행위를 시도하는 사람들을 위해 해킹툴, 해킹서비스 등을 제공하는 '블랙마켓'이 러시아, 중국 등지에서 수년째 성행하고 있다. 이러한 비즈니스를 하는 조직들은 규모나 수법 면에서 일반 사업과 비교해 손색없을 정도다. 해킹 관련 불법 비즈니스를 벌이는 조직이 국내에도 나오지 말란 법은 없다.
30일 라온시큐어 화이트햇센터 보안기술연구팀 신동휘 연구원을 통해 블랙마켓 세계에 대한 이야기를 들었다.
여러 회원제 커뮤니티를 통해 거래되고 있는 해킹툴은 적게는 수달러에서 많게는 수백달러에 판매되고 있다. 더구나 분산서비스거부(DDoS) 공격 대행, 좀비PC 대여, 수천명의 친구를 보유하고 있는 인기 페이스북 계정 대여 등까지 사업적으로 거래되고 있는 것으로 나타났다.
지난해 시만텍 노턴이 발표한 '사이버 범죄 보고서'에 따르면 한국을 제외한 주요 24개국을 대상으로 조사한 결과 매년 사이버범죄에 희생되는 피해자는 5억5천600만명 수준이다. 이는 하루엔 150만명, 초당 18명 꼴이다. 이를 통한 금전 피해만도 1천100억달러에 달한다. 매년 미국 패스트푸드 소비량과 맞먹는 수준이다.
대규모 해킹관련 블랙마켓이 형성돼있는 곳은 러시아와 중국이다. 신 연구원은 주로 러시아에서 개발된 해킹툴이 중국에서 용도에 맞게 수정돼 거래되는 경우가 많다고 설명했다.
해킹 관련 블랙마켓을 운영하는 조직은 크게 리더, 중간책, 유포자 등으로 역할이 나눠진다. 블랙마켓을 운영하는 리더는 악성코드나 해킹툴을 만들 수 있는 해커들을 직접 고용하거나 일을 의뢰하는 역할을 맡는다. 새로 만들어진 '제품'들은 블랙마켓 운영사이트에 올라오면 유포자들은 이를 활용해 보안이 취약한 사이트에 악성코드를 심거나 좀비PC로 만드는 일을 수행한다.
운반책은 구매자들로부터 받은 자금을 조직리더에게까지 전달하는 역할을 담당한다. 일명 '뮬(mule)'이라고 불리는 운반책들은 해킹 기술 등에 대해서는 전혀 알지 못하고 단순히 돈을 운반하는 역할만 맡는다. 여러 명의 뮬을 거치면 자연스레 계좌추적이 어려워지고, 가장 마지막에는 조직 리더가 돈을 받게 되는 구조다. 뮬 중 한 명이 수사망에 걸리거나 연락이 안 될 경우에도 이에 대비한 보조 뮬을 운영하기도 한다.
실제 지난해 7월에는 광고컨설팅 회사인 것처럼 위장해 뮬을 구인하는 광고를 내는 조직도 있었다. 공고에는 일주일에 2~4시간 일하는 파트타임 일자리로 매년 6만~8만달러의 수익을 보장한다고 씌여있어 일반인들을 유혹한다.
블랙마켓 사이트는 대개 회원제로 운영된다. 얼마 이상 돈을 낼 경우에만 거래에 필요한 여러가지 서비스를 사용할 수 있다. 이를 통해 접속한 회원들은 사이트 내부에서만 사용되는 사설 메시지(Private Messeage, PM)나 기타 인스턴트메신저를 통해 실제 거래를 성사시킨다.
결제수단에는 최대한 결제 흔적이 남지 않는 웹머니, 리버티리저브, 페이팔, 비트코인 등의 사이버 머니가 사용된다. 신 연구원은 실제로 사이트 내에 목표에 대한 DDoS 공격을 해주는 데 시간당 5달러를, 옵션이 추가되면 25달러를 받는다는 내용의 글이 게재되고 잇다고 설명했다.
이밖에도 좀비PC 600대를 대여하는데 30달러를 받는다, 3개월간 자신의 좀비PC 5천대를 빌려주는 대가로 140달러를 받겠다는 등의 광고글이 올라온다. 심지어는 일반 소프트웨어처럼 평가판을 써보고 모든 기능을 쓰고 싶으면 결제하라는 등 기존 비즈니스의 특징들을 그대로 모방하고 있다.
블랙마켓에서 해킹툴이나 관련 서비스만 팔고 있는 것은 아니다. 신용카드의 정보를 빼갈 수 있는 '가짜 ATM(Fake ATM)'까지 수만달러 수준의 높은 가격에 거래되고 있다.
관련기사
- 해커그룹, 美 사법기관 해킹…'놀이터'로2013.01.30
- 해킹에도 '윤리'가 필요하다2013.01.30
- 러시아서 '한국산 악성코드' 발견돼2013.01.30
- 청부해킹·인터넷 해킹도구 유통 강력 단속2013.01.30
이외에도 해킹용 가상사설망(VPN) 대여, SMTP방식의 해킹용 이메일 계정 서비스 등도 거래에 활용되고 있는 것으로 나타났다. 친구수 3천명을 확보한 가짜 페이스북 계정의 경우 현재도 200개의 친구요청이 대기 중이라고 광고하며 거래되고 있다. 이들 계정은 악성코드를 유포하거나 스팸을 발송하는 등의 용도로 사용된다.
이같은 블랙마켓은 현재 외국에서만 실체가 드러난 상황이다. 그러나 국내라고 해서 안심할 수는 없는 상황이다. 인터넷 인프라가 잘 발달해 있고, 최근에는 백신이 스파이웨어를 탐지하지 못하도록 우회하는 기법을 연구하는 비공개 모임 등도 생기고 있기 때문이다. 신 연구원은 스파이웨어 연구모임이 조금만 발전하더라도 블랙마켓 조직으로 발전할 가능성이 충분히 있다며 굳이 우리나라가 아니더라도 해외시장을 노린 국내 조직이 나올 수 도 있다고 지적했다.