"마이크로소프트(MS)는 이용자에게 수많은 온라인서비스를 제공하고 다양한 소프트웨어(SW) 제품을 통해서도 그 데이터에 접근하고 있다. 이 데이터는 MS를 겨냥한 사이버공격 차단에 쓰일뿐아니라 봇넷 악성코드 공격과 같은 온라인 디지털 범죄를 찾고 근절하는 데 활용된다. MS의 사이버범죄대응조직(DCU)이 특정 봇넷을 찾아내고 다양한 법집행기관과 국제 공조를 통해 전파를 막을 수 있었다."
최근 방한한 메리 조 슈레이드 MS 부 법무실장(Assistant General Counsel) 겸 DCU 아시아 지역 디렉터(Regional Director)가 각국 사법기관과 공조하며 온라인 기반의 글로벌 사이버범죄 사건에 대응해 온 방법을 이같이 소개했다. DCU는 10년전인 지난 2008년 미국MS 본사가 전세계 사이버범죄에 대응할 목적으로 법률 전문가, 수사관, 엔지니어, 데이터 과학자, 분석 전문가 100여명을 모아 신설한 조직이다.
슈레이드 디렉터는 MS DCU의 아시아 지역내 사이버범죄를 막는 조직 활동과 전략을 총괄하고 있는 인물이다. 그 활동은 사이버범죄를 포함한 저작권침해 및 온라인기술지원 사기사건 예방과 근절에 초점을 맞추고 있다. 그는 사법기관 공조를 통해 사이버범죄 대응한 과거 사례로 이용자 대상 봇넷 악성코드 유포, SW제품 키 불법사용, 기술지원 사기 등을 빅데이터 분석 및 시각화로 추적한 사례도 제시했다.
슈레이드 디렉터는 "DCU는 변호사, 수사관, 포렌식 분석가, 데이터과학자들이 다수 참여해 10년전 설립된 조직으로, 과거엔 범죄를 사후에 조사하는 것을 주 업무로 했는데 이제는 빅데이터 분석 기반의 예방적 조치를 하게 됐다"면서 "글로벌 클라우드 서비스 200여종과 빙 검색에 스캔된 180억개 웹페이지, 매월 업데이트되는 윈도 기기 10억대와 월별 인증 4천500억건 등 MS의 온라인서비스에서 얻은 데이터를 활용한다"고 설명했다.
■ "악성코드 감염 봇넷 추적-확산 저지"
DCU의 빅데이터 분석을 통한 첫 범죄 추적 사례는 봇넷 악성코드 대응 활동이었다. 봇넷 악성코드는 인터넷에 연결된 컴퓨터를 감염시키고 자신을 다른 기기로 직접 전파해 모든 감염 컴퓨터가 악성코드 제작자의 명령을 따르는 '봇넷'을 만든다. DCU가 악성코드를 추적해 봇넷을 근절한 사례로 컨피커(2008년 11월), 니톨(2012년 9월), 아발란치(2017년 11월), 가마루(2017년 11월)가 꼽혔다.
최근 사례인 '가마루' 봇넷 대응 과정이 소개됐다. 2017년 당시 MS의 수백만 고객 컴퓨터가 감염돼 봇넷을 형성했다. 악성코드는 감염 시스템 정보를 탈취하고 또다른 컴퓨터를 공격하도록 설계됐다. MS는 감염된 기기의 활동을 DCU 차원에서 추적했다. 캐나다 왕립경찰, 미국 연방수사국(FBI), 유로폴, 벨라루스 법집행기관, 독일 니더작센 주 경찰 등 여러 지역별 법집행기관과 공조해서 특정 봇넷에 감염된 기기들을 찾아낼 수 있었다.
슈레이드 디렉터는 국제공조로 찾아낸 봇넷 감염 기기의 시각화 지도를 '싱크홀(the sinkhole)'이라 불렀다. 특정 봇넷에 감염된 기기의 물리적 소재지를 지도상의 점으로 나타낸 것이다. 감염 기기가 많으면 지도상의 점이 많이 찍혀 시각적으로 두드러지고 그만큼 봇넷 규모가 크다는 걸 알 수 있었다. 검게 음영 처리된 세계지도에 붉은 점으로 표시된 '가마루 싱크홀'은 미국, 서유럽, 인도, 동남아, 한국, 일본에서 두드러지게 발생했다.
MS DCU는 데이터 분석을 통해 지역별 봇넷 전파 상황뿐아니라 기기의 감염 원인도 추적했다. 최근 봇넷 감염 사례들은 제대로 업데이트되지 않은 기기 위주로 발생했다. 반면 2009~2010년 확산한 컨피커에 기기가 감염된 주 원인은 보안 강도가 약한 패스워드 사용이었다.
슈레이드 디렉터는 "지역적으로 다양한 악성코드 감염 사례가 발생하는데, 국가를 배후로 둔 공격자(Nation-State attackers)가 특정한 공격 표적을 노리고 MS 또는 그와 유사한 이름을 포함한 문자로 도메인을 등록해 피싱(phishing)을 수행하기도 했다"며 "이런 활동은 공격 규모가 작아 표준 보안 방어는 효과적이지 않을 수 있기 때문에, DCU는 해당 도메인을 무효화하는 등 공격자의 수단을 무너뜨리는 데 집중한다"고 설명했다.
■ "SW 제품 키 도난-부정사용, 데이터시각화로 적발"
이어 '키체크 작전(Operation Keycheck)'이 소개됐다. 키체크 작전은 MS의 SW 공급망에서 제품 키(product key)를 빼돌려 판매한 국제범죄단의 활동에 붙은 이름이다. MS DCU가 파악한 바로는 키체크 작전으로 제품 키 60만개 이상이 도용돼 고객 기기 480만대 이상에 영향을 줬다.
슈레이드 디렉터는 "과거 MS 제품 키 복제 프로세스를 담당하는 중국 파트너 '리플리케이터'가 (복제한) 키를 잃어버리는 사태가 발생했고, DCU는 그렇게 사라진 키가 어디에서 어떻게 쓰이는지 추적하고자 했다"며 "미국 국토안보부와 연계해 잃어버린 제품 키와 관련된 수사를 진행한 결과 2명의 용의자가 키를 탈취했고, 더 큰 문제를 야기했음을 알 수 있었다"고 말했다.
제품 키는 MS의 윈도나 오피스 SW를 설치한 컴퓨터에 입력해 정품 인증과 이용자 등록 절차를 밟을 때 필요하다. 컴퓨터에 입력된 제품 키는 해당 컴퓨터 고유 정보와 함께 MS의 서버로 전달된다. MS는 이 데이터로 언제 어느 제품 키가 어느 컴퓨터에 입력됐는지 확인할 수 있다. 정당한 이용자가 수명을 다한 기기에 썼던 제품 키를 새 시스템에 쓸 수도 있지만, 동일 시기에 한 제품 키가 여러번 입력될 경우 부정 사용됐을 공산이 크다.
슈레이드 디렉터는 "일반적으로 제품 키는 PC에 SW를 재설치하거나 초기화 등 필요한 상황이 아니면 최초에 적용한 뒤 다시 쓰지 않는다"며 "(동일 제품 키가) 재사용되는 비중은 전체의 2%에 불과하다"고 말했다. 이어 "그런데 중국에서 탈취된 제품 키가 미국의 특정 지역에서 사용되는 사례가 급증하는 현상을 접했다"며 "(범죄자가) 아이들을 시켜 훔친 키를 쓸 수 있는지 테스트했던 것"이라고 설명했다.
MS 측은 데이터시각화 기법을 활용했다. 비정상적인 제품 키 사용 패턴으로 2차원 그래프를 그렸다. 세로축은 MS의 파트너 업체별로 관리를 위임받은 제품 키 영역으로 설정했고, 가로축은 그 제품 키의 재사용 빈도를 보여 주는 구간으로 설정했다. 이 그래프에서 전체 2%에 불과한 제품 키 재사용 빈도가 특정한 파트너 업체에 할당된 제품 키 영역에서 유달리 높게 나타났다.
슈레이드 디렉터는 "이 데이터시각화 결과를 바탕으로 진행된 수사 결과, 피의자 중 미국 중부 캔자스 주에 소재했던 1명은 기소됐고 중국 소재 파트너 업체의 책임자 1명은 휴가를 다녀온 뒤 잠시 미국에 들렀을 때 체포돼 현재 수감 중"이라며 "이들의 범죄 수익은 모두 회수됐다"고 설명했다. 그는 "이 범죄 활동 결과 도난당한 제품 키로 활성화(인증)된 기기가 14억대에 달할 만큼 사건 파장이 컸다"고 덧붙였다.
■ "사기꾼 전화번호, 수천명 수작업 대신 AI로 신속 추적"
MS DCU가 데이터 분석으로 추적한 또다른 범죄행각은 콜센터 기술지원을 빙자한 사기(Tech Support Fraud) 행위였다. 이는 기술적 지식이 충분하지 않은 이용자를 속여 기술지원이 필요한 것처럼 믿게 만든다. 그리고 문제 상황을 해결하려면 돈을 지불하라고 요구한다. 범죄자는 이렇게 MS가 제공하지 않는 서비스를 제공하는 것처럼 행세해 돈을 얻거나 피해자의 데이터를 훔친다.
슈레이드 디렉터는 "기술지원사기는 미국인 10명 중 1명이 피해를 스스로 입었거나 입을 뻔한 사람이 주위에 있을 정도로 흔하며 미국, 호주, 싱가폴 등 지역에서 심각한 문제로 대두되고 있다"고 밝혔다. 또 "주로 인도 소재 콜센터 조직을 통해 발생한다"며 "콜센터가 무작위로 집전화를 걸어 시도하는데 아직 유선전화를 쓰는 고령층 이용자가 피해를 입는 경우가 많다"고 지적했다.
그가 예시로 든 기술지원사기 과정은 불특정 이용자가 웹서핑 중 화면이 멈추거나 성가신 팝업이 계속 나타나는 경험을 하는 걸로 시작된다. PC를 다루는 데 익숙하지 않은 이용자에게 이 상황을 빠져나올 수 없게 만든 뒤 '이 번호로 전화를 걸어 MS의 지원을 받으라'고 안내한다. 해당 번호는 사실 MS가 아니라 기술지원사기 콜센터에 연락하는 번호고 피해자는 돈을 잃게 된다.
슈레이드 디렉터는 "범죄자들은 전화번호를 계속 바꾸면서 사기를 저질렀기 때문에 그 번호를 추적, 조사하려면 계속해서 온라인상의 전화번호가 유효한 것인지 파악해야 했는데, 일일이 사람이 하려면 수천명이 달려들어야 했다"면서 "수작업 대신 MS애저 클라우드컴퓨팅과 인공지능(AI)을 활용해 모든 전화번호를 취합, 분석했고, 피해자가 될 뻔했던 실제 고객들에게 가짜 번호를 경고할 수 있었다"고 말했다.
■ "MS직원-파트너 영업간 부당거래, MS애저 분석툴로 판정"
MS는 빅데이터를 외부 인터넷 생태계의 사이버위협이나 범죄 대응뿐아니라 내부 담당자 및 파트너 영업활동 검증에 활용하고 있다. MS 직원과 파트너 업체간 발생할 수 있는 불법행위 추적 전략과 '고위험거래(HRD)' 정보 분석 기법을 적용한 위험평가시스템이 소개됐다. 이는 MS애저 클라우드 기반 분석평가시스템으로 MS의 법무팀과 컴플라이언스 조직이 쓰고 있고, MS가 고객 솔루션으로도 제안 중이다.
슈레이드 디렉터는 "MS는 제품을 직접 판매하지 않고 파트너를 통해 판매하는 회사라, 우리 직원 때문에 파트너가 불법 행위를 저지르지 않도록 보장하는 것이 중요하다"면서 "그런 불법행위가 발생하지 않게 해 (한국 국민권익위원회를 비롯) 부패방지관련 법률을 제정한 모든 국가의 규제를 준수하는 데 빅데이터를 활용했다"고 설명했다.
관련기사
- 사이버 범죄조직, 피싱 메일로 글로벌 은행 해킹2018.08.31
- 페트야 악성코드 유포 용의자 잡혔다2018.08.31
- 대형 인터넷 암시장 '알파베이'·'한자' 폐쇄2018.08.31
- 랜섬웨어 공격 북한 배후설, 사실일까2018.08.31
그에 따르면 MS는 파트너업체가 등록한 거래정보의 데이터와 과거 누적된 정보를 활용해, 새로운 거래 정보의 문제 발생 소지를 평가한다. 이미 저장된 과거 거래 보고서 정보, 샘플링된 데이터, 파트너가 제공하는 것과 MS가 자체 보유한 툴의 고객관계관리(CRM) 등 데이터를 취합해 위험요소를 찾는다. 지리적 위치, 거래처 성격, 공급가 할인 수준, 마케팅비 지출 정도, 실제 청구 액수 등으로 HRD 정도를 분석한다.
슈레이드 디렉터는 "HRD 분석은 파트너 또는 MS 직원이 우리 시스템에 견적서를 작성할 때 이뤄지는데, 이걸로 잠재적인 거래 위험도를 파악해 대시보드에 표시할 수 있다"며 "대시보드는 위험도가 파악된 거래에서 해결해야 할 이슈 플래그를 띄워 주고, 이를 접한 담당자들은 플래그의 문제를 해결하기 위해 데이터를 더 취합하고 포괄적으로 대응하며 후속 업무 절차도 밟게 된다"고 설명했다.