해킹된 서버 계정 단돈 6달러에 거래...한국도 포함

인터넷입력 :2016/06/16 13:22    수정: 2016/06/16 13:50

손경호 기자

달러 비용만 지불하면 해킹된 서버의 계정정보를 구매할 수 있는 블랙마켓 웹사이트가 발견됐다.

16일 카스퍼스키랩은 유럽 소재 인터넷서비스사업자(ISP)로부터 제보를 받아 '엑스데딕(xDedic)'이라는 블랙마켓 웹사이트를 확인한 뒤 분석한 결과를 공개했다.(관련링크) 현재 해당 사이트는 폐쇄된 상태다.

이 사이트는 러시아어를 사용하는 해킹그룹이 운영하는 것으로 추정되며 173개 국가로부터 확보한 7만624개 해킹된 원격데스크톱프로토콜(RDP) 서버가 판매목록에 올라와 있었던 것으로 확인됐다.

이 중에는 한국 서버들도 741개가 포함돼 있었다. 나라별로는 브라질(9%), 중국(7%), 러시아(6%), 인도(5%) 등 순으로 많은 해킹된 서버가 이곳에 공개됐다.

해킹된 서버 정보를 공유하는 엑스데딕(xDedic) 웹사이트. 현재는 폐쇄된 상태다.

카스퍼스키랩은 또 다른 사이버범죄자들이 이 사이트로부터 구매한 정보를 악용해 정부기관, 기업, 대학 등 해당 서버 소유자의 각종 인프라를 노려 표적공격하거나 더 광범위한 공격을 위한 거점을 구축한다고 설명했다.

엑스데딕 개발자들은 직접 정보를 판매한다기 보다는 해킹된 정보들을 사고파는 거래장터를 만드는 역할만 했던 것으로 나타났다. 또한 이 사이트는 서비스의 만족도를 높이기 위해 실시간 기술지원을 하는 것은 물론 해킹에 성공한 서버에서 돈이 될만한 정보들을 엑스데딕 데이터베이스에 옮겨놓고 별도 판매를 시도하기도 했다.

초보 단계 사이버공격자들부터 지능형 공격을 시도하려는 사이버범죄조직들까지 저렴하게 필요한 정보를 제공받을 수 있도록 했다는 점에서 심각하다.

이 사이트에 정보를 올리는 공격자들이 서버를 해킹하는 방법은 단순하지만 철저하다. 우선 공격자가 서버에 직접 침투해보거나 무작위 대입공격을 시도해 서버 관리자의 계정정보를 훔쳐내 업로드 한다. 그 다음으로 해킹된 서버에서 RDP구성, 메모리, 소프트웨어, 인터넷 사용 기록 등도 추가로 수집해 구매자에게 제공한다.

해킹된 서버의 종류는 광범위하다. ▲정부, 기업 및 대학 네트워크에 소속된 서버 ▲게임, 도박, 연애, 온라인 쇼핑, 인터넷 뱅킹/결제, 휴대폰 네트워크, ISP 등 특정 웹사이트와 서비스를 호스팅하거나 접속 권한이 있는 것으로 표시된 서버 ▲광고 메일, 재무회계, PoS 소프트웨어를 비롯해 공격을 용이하게 만드는 소프트웨어가 설치되어 있는 서버 ▲다양한 해킹 및시스템 정보 도구를 사용해 제어 가능한 모든 서버 등이다.

엑스데딕은 2014년부터 운영돼 왔던 것으로 추정되며 지난해 하반기부터 사용자 수가 대폭 증가했다. 이곳에 해킹된 서버 정보를 올리는 판매자들 중 확인된 것은 416명이다.

엑스데딕으로부터 해킹된 서버정보를 구매해 원하는 공격이 끝나면 이 사이트는 해당 정보를 다른 공격자들에게 재판매한다.

카스퍼스키랩코리아 이창훈 지사장은 "엑스데딕은 상업적 시스템과 거래 플랫폼이 등장하면서 서비스형 사이버 범죄가 점점 더 확산되고 있다는 사실을 보여주는 증거"라며 "이 사이트는 기술 수준이 낮은 해커부터 국가의 지원을 받는 APT 공격 조직까지 모든 유형의 사이버 범죄자에게 그 어느 때보다 쉽고 저렴하고 빠르며 효과적인 방법으로 공격을 실행할 수 있는 활로를 열어준 셈"이라고 밝혔다.

이러한 사이트에서 자신들의 서버 정보가 공유되지 않도록 관리하기 위해 카스퍼스키랩은 종합적인 다계층 보안전략을 세워야한다고 강조했다.

관련기사

먼저 서버 관리자 계정에 강도높은 암호를 사용하는 것이 최우선적으로 해야할 일이다. 각종 소프트웨어에 대한 보안패치를 적용하고, IT인프라에 대한 정기적인 보안감사도 필요하다. 이와 함께 과거 유사사건들에 대한 정보를 분석한 보안 위협 인텔리전스 서비스에 대한 투자도 고려해야한다고 카스퍼스키랩은 설명했다.

사이버범죄자 관점에서 위협을 분석한 정보를 제공받아 내부에서도 비슷한 위협이 발생할 수 있는지를 진단하고, 대비할 수 있기 때문이다.