러시아서 520여억원 훔친 사이버범죄단 덜미

인터넷입력 :2016/06/08 14:48    수정: 2016/06/08 14:48

손경호 기자

최대 은행인 스베르뱅크를 포함해 여러 금융사, 기업들로부터 4천500만달러(약520억원)를 훔친 사이버범죄조직이 덜미를 잡혔다. 이들은 특히 공격대상이 사용하는 인터넷뱅킹서비스에 직접 침투해 해당 고객계좌로부터 돈을 인출하는데 집중했다.

카스퍼스키랩은 현지 경찰과 공조해 '럴크(Lurk)'라고 불리는 악성코드를 유포한 사이버범죄조직을 검거할 수 있었다고 8일 밝혔다. 이 사이버범죄조직은 2011년부터 PC, 노트북 등을 대상으로 다양한 기능을 가진 범용모듈 방식의 악성코드인 럴크를 뿌려왔다.

카스퍼스키랩코리아 이창훈 지사장은 "럴크에 대해 러시아 경찰의 수사 초기부터 카스퍼스키랩 전문가가 함께 활동했다"며 "기업과 개인 사용자에게 심각한 위협을 가하는 럴크 공격의 배후에 러시아 사이버범죄조직이 있었다는 사실을 파악하고 있었다"고 밝혔다.

럴크가 은행들을 직접 공격대상으로 삼기 시작한 것은 1년6개월 전부터다. 그 전까지는 기업, 개인 사용자들을 대상으로 이 악성코드를 유포해왔다.

소니픽쳐스 해킹과 최근 방글라데시 은행, 베트남 상업은행 해킹 사건이 같은 개발환경에서 개발된 거의 동일한 악성코드가 쓰였다는 점이 확인됐다. 이들 사건이 모두 동일범 혹은 동일한

최근 러시아 사법기관의 검거 작전에서 카스퍼스키랩 보안 전문가들은 관련 악성코드를 분석해 공격자들이 악용했던 네트워크를 파악했다. 이후 러시아 경찰은 추가 수사를 통해 용의자를 확인하고, 그 동안 저지른 범죄에 대한 증거를 수집할 수 있었다. 검거 작전이 진행되는 동안 러시아 경찰에서 3천만달러(약346억원) 이상의 불법 인출을 막는 성과도 거뒀다고 카스퍼스키랩측은 설명했다.

럴크는 현지 주요 언론사와 사용자들이 많이 찾는 다른 웹사이트들을 악용하는 수법으로 피해를 확산시켰다. 사용자들은 해당 웹사이트에 방문하는 것만으로 럴커에 감염될 수 있도록 한 것이다. 이 악성코드에 감염된 PC, 노트북에는 추가적인 악성코드모듈이 다운로드되며, 결론적으로 대상으로부터 돈을 훔쳐낸다.

해킹에 악용한 가상사설명(VPN) 연결 흔적을 지우기 위해 여러 IT 및 통신사를 해킹한 후 감염된 서버를 통해 익명으로 접속하는 수법을 쓰기도 했다.

관련기사

럴크는 피해자의 PC, 노트북에 악성코드가 저장되는 것이 아니라 램(RAM)에 상주한다는 점이 특징이다. 이와 함께 백신 탐지를 우회하기 위해 서로 다른 VPN 서비스를 쓰거나 익명 네트워크인 토르(Tor), 해킹된 IT조직으로부터 변조된 와이파이 네트워크와 서버를 활용해 추적을 피했다.

카스퍼스키랩은 이 같은 공격을 예방하기 위해 보안교육과 정기적인 보안점검이 필요하다고 강조했다. 기업들이 보안대책에 주의를 기울이고, IT인프라 보안점검을 정기적으로 실시해야한다는 것이다.