악성코드 제공 '스캔포유' 설립자 14년형 선고

라트비아 국적 37세 남성 본다르스

컴퓨팅입력 :2018/09/24 10:16    수정: 2018/09/24 12:33

악성코드 정보 제공 사이트 '스캔포유(Scan4You)' 설립자가 14년형을 선고받았다. 해당 서비스를 사이버범죄에 악용되게끔 조장했다는 이유에서다.

미국 지디넷은 지난 22일 스캔포유를 만들고 운영해 온 라트비아 국적 37세 남성 루슬란 본다르스(Ruslan Bondars)가 악성 소프트웨어 제작자들에게 보안솔루션의 탐지 여부를 파악할 수 있게 만들어진 스캔포유 서비스를 만들어 운영함으로써 사이버범죄를 조장한 혐의로 14년형을 선고받았다고 보도했다.

스캔포유는 구글에 인수된 온라인 악성코드 정보검색사이트 '바이러스토털(VirusTotal)'과 유사한 서비스를 제공한다. 여러 안티바이러스 솔루션 공급업체가 제공하는 엔진을 활용해 악성코드 탐지 결과를 한 번에 모아서 보여준다는 점에서 닮은꼴로 인식됐다. 둘 사이 다른점이라면, 바이러스토털과 달리 스캔포유는 이용자가 확인한 악성코드의 탐지 결과를 솔루션 업체에 제공하지 않아도 되게끔 만들어졌다는 점이다. 즉 스캔포유 이용자는 어떤 악성코드가 시중의 안티바이러스 업체들이 대응하지 못하는 것인지 확인해 악용할 수 있었다.

악성코드 제작자는 자신들이 현실세계의 공격에 유포하려는 악성코드를 사전 테스트하는 방법으로 수년간 스캔포유같은 서비스를 이용해 왔다. 시중의 안티바이러스 제품들에 탐지되지 않게끔 악성코드를 다듬어 내놓을 수 있었다는 얘기다.

트렌드마이크로의 올초 보고서에 따르면 본다르스는 지난 2009년 스캔포유 서비스에 이런 모델을 적용했고, 덕분에 사이버보안 시장에서 금세 이 서비스의 인기를 끌어올릴 수 있었다. 트렌드마이크로는 본다르스가 모든 악성코드 제작자들이 지난 수년간 다양한 일괄탐지식 서비스를 다룰 때와 동일한 실수를 저질렀다고 지적했다. 본다르스는 스캔포유 서비스의 안티바이러스 엔진이 파일 스캔 결과를 보고하지 못하게 차단했지만, 2012년께 그와 다른 여러 운영자들은 트렌드마이크로 엔진의 URL 스캔 결과 보고를 차단하진 않았다.

트렌드마이크로 측은 거의 5년간 스캔포유와 다른 여러 유사 서비스로부터 URL 평판 스캔 요청을 받아 왔는데, 그 데이터 덕분에 악성 소프트웨어가 실제 인터넷 환경에 유포되기 전에 악성 소프트웨어 유포 활동을 탐지할 수 있었다고 밝혔다.

트렌드마이크로에 따르면 스캔포유(S4Y)는 2015년중 가장 인기있는 안티바이러스 스캔 서비스였다.

트렌드마이크로 측은 관련 데이터를 축적한 뒤 발견한 특이사항들을 미국 연방수사국(FBI) 및 다른 법집행기관들과 공유했다. 본다르스가 체포되기 이전에 영국 법집행기관은 'reFUD.me'라고 불리는 유사 서비스의 운영자를 체포해 실형을 선고하기도 했다. 본다르스는 지난해 5월 라트비아의 리가에서 그의 공범인 유리 마티세용의자(Jurijs Martisevs)와 함께 체포됐고 스캔포유 운영 관련 혐의로 미국에 인도됐다.

공소장에 따르면 스캔포유는 아마존웹서비스(AWS) 서버에서 운영됐다. 악성코드 제작자들은 스캔포유의 스캔 기능을 모두 활용하는 권한을 얻으려면 비용을 지불해야 했다. 마티세브는 결제 절차를 지원하기 위해 자기 명의로 된 페이팔 계정을 사용했는데, 이는 미국 법집행기관들이 두 용의자를 추적하기 쉽게 해줬다.

미국 법집행기관은 본다르스를 스캔포유의 악성코드 스캐너 기술 인프라에 책임이 있는 인물로, 마티세브를 ICQ, 스카이프, 재버, 이메일 등을 통해 고객지원업무를 수행한 인물로 파악했다. 법집행기관은 본다르스에 관한 광범위한 정보를 수집해 지난 5월중 신속한 5일간의 재판을 받게 한 뒤 그 배심원단이 유죄 평결을 내리게 했다.

관련기사

미국 지디넷이 확보한 판결문에 따르면 본다르스는 9월 21일 14년형을 선고받았다. 미국 법집행기관은 그가 수년간 스캔포유 서비스를 운영했다는 혐의에 대해 실형을 선고했지만, 트렌드마이크로 측은 이 해커가 다른 여러 범죄 행위의 배후 역할도 맡고 있었음을 지적했다.

트렌드마이크로는 본다르스가 2006년부터 '에바 파마시'라는 당시 대형 제약업계 스팸 범죄조직의 일원이 되면서부터 사이버범죄 커뮤니티의 활발한 멤버로 활동해 왔다고 지적했다. 회사측 설명에 따르면 본다르스는 불법 처방약 판매 스팸메시지 유포 외에도, 자신의 은신처를 들키기 전에 스캔포유를 운영해 스파이아이(SpyEye)와 제우스(ZeuS)라는 은행 트로이목마 악성코드 유포를 돕기도 했다.