"연 매출 600억 넘는 사이버 범죄조직도 많다"

트렌드마이크로, 보고서 발표…"사내정치 등 기업들과 비슷한 고민"

컴퓨팅입력 :2023/04/06 11:20    수정: 2023/04/06 11:21

연간 매출 5천만 달러(약 659억원)를 웃도는 대규모 사이버 범죄조직도 적지 않은 것으로 나타났다. 또 사이버 범죄 조직 역시 사내 정치, 저성과자 관리, 신뢰 문제 등 일반 기업들과 비슷한 고민을 갖고 있는 것으로 분석됐다. 

트렌드마이크로는 이 같은 내용이 담긴 '사이버 범죄 기업의 내부' 보고서를 발표했다. 

이번 보고서를 통해 트렌드마이크로는 사이버 범죄 조직의 규모와 복잡성을 파악함에 따라 수사 시에 어떤 데이터를 추적해야 하는지 단서를 확보할 수 있으며, 수사 효과를 극대화할 수 있는 조직을 먼저 확보하는 등 우선순위를 정해 효율적으로 수사를 진행할 수 있다고 밝혔다.

보고서에 따르면 사이버 범죄 조직은 운영 비용 대부분을 인건비로 쓰고 있는 것으로 나타났다. 대규모 조직은 80%, 소규모 범죄 조직은 78%에 달했다. 나머지 비용은 주로 서버, 라우터, 가상사설망(VPN) 등 인프라와 가상 머신, 소프트웨어 등에 쓰였다.

트렌드마이크로는 이번 보고서에 필요한 데이터는 수사 기관과 내부자 정보를 통해 확보했다고 밝혔다. 

보고서에서는 크기에 따라 세 가지 유형의 조직으로 나눠서 설명했다. 

먼저 '콘티(Conti)'와 같은 대규모 랜섬웨어 조직의 경우, 일반적으로 세 단계의 경영 계층이 존재하며 직원 수는 50명이 넘는 것으로 파악됐다. 연간 매출은 5천만 달러(약 659억원) 이상을 유지했다.

이 조직들은 하위 관리자 및 감독자 수가 비교적 많으며, 효과적인 운영보안(OPSEC)을 구현해 다른 범죄 조직과 파트너 관계를 유지하는 것으로 나타났다.

책임자는 풍부한 경력의 사이버 범죄자가 맡으며, 단기 계약직을 포함해 개발, 행정, 침투 테스트 담당 등을 다수 고용했다. IT, HR 등 기업과 유사한 부서가 있거나, 성과 평과와 같은 직원 프로그램을 운영하는 경우도 존재했다.

불법 호스팅 서비스 맥스데디(MaxDedi)와 같은 중간 규모의 범죄 조직은 일반적으로 두 단계의 경영 계층이 존재하며, 직원 수는 6~49명 내외였다. 이들 또한 최대 5천만 달러의 연간 매출을 유지했다. 이들은 대개 피라미드 형태의 계층적 구조를 가지며, 단일 책임자가 있었다.

안티바이러스 탐지 여부 제공 서비스인 스캔포유(Scan4You)와 같은 소규모 범죄 조직은 일반적으로 한 단계의 경영 계층이 존재하며, 직원 수는 5명 이내였다. 한 구성원이 여러 가지 업무를 처리하며, 본업을 가지고 있었다. 연간 매출은 50만 달러(약 6억5천890만원) 미만이었다.

대부분의 사이버 범죄 조직이 이러한 소규모 범죄 조직이었으며, 이들은 다른 범죄 조직과 자주 협력하는 모습을 보였다.

스캔포유는 구글의 합법적인 바이러스토탈 서비스와 유사하게 작동하지만, 안티바이러스 엔진이 멀웨어 탐지 결과를 공급업체에 다시 보고하는 것을 허용하지 않는다는 것이 차이점이다. 이러한 이유로 멀웨어 공격자들은 실제 공격을 진행하기 전에 멀웨어가 탐지되는지 테스트하기 위해 스캔포유와 같은 서비스를 사용해왔다. 스캔포유 운영자는 해커였던 것으로 밝혀졌다.

트렌드마이크로 존 클레이 위협 인텔리전스 부사장은 "사이버 범죄 조직은 구성원과 수익이 증가함에 따라 점차 복잡해지고, 합법적인 비즈니스를 모방하며 빠르게 전문화되고 있다"며 "이러한 성장과 동시에 사내 정치, 저성과자, 신뢰 문제 등을 겪으며 관리에 어려움을 겪기도 한다"고 말했다.

관련기사

이어 "트렌드마이크로의 이번 보고서는 사이버 범죄 조직의 규모에 따른 특징을 전해 범죄 수사 시 조직 규모 파악의 중요성을 다시 한번 제고한다"며 "보고서는 수사 시 사이버 범죄 조직의 규모와 복잡성을 파악함으로써 어떤 유형의 데이터를 추적해야 하는지 등의 중요한 단서를 확보할 수 있다"고 설명했다.

예를 들어, 대규모 범죄 조직을 수사할 경우 직원 명단, 재무 보고서, 회사 안내서 및 입문서, 합병 및 인수 문서, 직원 암호화폐 지갑 정보, 더 나아가 공유 캘린더와 같은 데이터를 추적 대상으로 삼을 수 있다는 설명이다.