Home > 전체기사

모든 것을 외주로 처리하는 독특한 사이버 범죄 단체, AIG

  |  입력 : 2022-07-21 14:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
다크웹에 신기한 단체가 등장했다. 단 한 명이 운영하는 것으로 보이는 이 그룹은 여러 가지 의뢰를 받고, 이것을 다시 용병 단체들에 넘겨 일을 처리한다. 우후죽순 늘어나고 있는 용병 단체들을 위한 중개업을 하는 건데, 이것이 꽤나 유행을 탈 수 있을 것으로도 보인다.

[보안뉴스 문가용 기자] 스스로를 아틀라스 인텔리전스 그룹(Atlas Intelligence Group, AIG)이라고 부르는 해킹 단체가 최근 활동량을 늘리기 시작했다. 그런데 이들의 공격 전략이 기존의 사이버 공격자들이 고수하던 그것과 사뭇 달라 눈에 띄고 있다. 어쩌면 새로운 유행이 시작될지 모른다고 보안 전문가들의 경고가 나오고 있다.

[이미지 = utoimage]


보안 업체 사이버인트(Cyberint)에 의하면 AIG는 현재 다크웹에 자신들의 주력 웹사이트를 개설해 놓고 다양한 범죄 서비스를 제공하고 있다고 한다. 자신들이 훔쳐낸 데이터베이스에 대한 접근 권한, 자신들만이 가지고 있는 주요 데이터, 디도스 공격 대행, 주요 대기업 네트워크에 대한 최초 접근 통로 등이 주력 상품이다. AIG의 이러한 사업 행위가 처음 사이버인트의 눈에 띈 건 지난 5월의 일인데, 두 달이 채 안 되는 기간 동안 빠른 속도로 성장하고 있다고 한다.

사실 이런 사업 아이템을 가지고 다크웹에서 활동하는 조직들은 수없이 많다. AIG가 그런 조직들과 다른 건, 모든 공격 행위를 스스로 하지 않고 외주로 해결한다는 것이다. 예를 들어 한 고객이 AIG에 접근해 특정 기업에 디도스 공격이나 데이터 탈취 공격을 해 달라고 의뢰를 하면, AIG는 이를 받아들고 용병들에게 접근하여 계약을 맺고 해당 공격을 실시하도록 한다. 사이버인트가 여태까지 조사한 바에 의하면 이들은 모든 공격을 오로지 외주로 처리하고 있다고 하는데, 이런 사업 모델은 여태까지 존재하지 않았었다.

AIG가 이런 독특한 사업 모델을 고수하는 이유는 무엇일까? 사이버인트는 “실질적인 범법 행위에 직접 가담하지 않기 위해서”라고 추측하고 있다. 사이버인트의 보안 연구원인 슈무엘 기혼(Shmuel Gihon)은 “이렇게까지 극단적으로 외주에만 의존하는 해킹 사업 모델은 처음 본다”며 “현존하는 모든 해킹 범죄 그룹에는 독자적인 기술자들이 존재했었다”고 말한다. “AIG는 그 모든 걸 외부 전문가들과의 네트워킹으로 충당하는 독특한 그룹입니다. 단 한 사람이 사업을 이뤄가는 것으로 보입니다.”

AIG의 출현은 어느 정도 예견되어 있는 것이었다. 요 몇 년 사이에 해킹 공격을 대행하는 용병들이 기하급수적으로 늘어났기 때문이다. 특히 인도, 러시아, UAE의 해커들 사이에서 용병 그룹이 많이 나오고 있다. 이들은 돈만 주면 각종 해킹 공격을 대신 실시하며, 그렇기에 공격 패턴에 일관성을 찾기 힘들다. 따라서 사건 수사에 혼선을 빚는다. 이런 해킹 그룹들 중 최근 눈에 띄는 단체 하나는 보이드 발라우르(Void Balaur)이며, 수년 동안 수천 건이 넘는 사건을 일으킨 것으로 전해진다.

AIG는 이런 각기 흩어져 있는 사이버 용병들을 묶어서 일거리를 주는 중간 매개체라고 볼 수 있다. 기혼이 추적한 바에 의하면 AIG를 운영하는 자는 미스터이글(Mr. Eagle)이라는 이름을 사용하고 있으며, 모든 AIG 캠페인과 기획, 사업 운영을 주도하고 있는 것으로 보인다고 한다. 미스터이글의 부하 직원 정도로 보이는 개인은 현재까지 최소 4명인 것으로 보이며, 주로 서비스 홍보, 고객 대응, 텔레그램 채널 운영 등의 임무를 맡고 있다.

“현재까지 드러난 AIG의 가장 큰 강점은 이 사업 운영에 관여하고 있는 사람들의 신원을 절대로 드러내지 않는다는 겁니다. 여러 면에서 스스로가 노출되지 않도록 하고 있습니다. 이들은 해킹과 관련된 기술적인 면들에 특화되어 있지 않고, 사업 운영에 좀 더 역량을 집중시키고 있습니다. 기술력이 없는 사업가로 분류할 수 있을 듯합니다.” 기혼의 설명이다. 그렇다고 아예 해킹 지식이 전무하다고 보기는 힘들다고 기혼은 설명을 이어간다. “미스터이글의 경우 레드팀 경력이나 해킹 범죄 가담 이력이 있는 것으로 보입니다.”

한편 AIG는 텔레그램에서 세 개의 채널을 운영하고 있는 것으로 보인다. 이 채널들의 팔로워 혹은 구독자는 수천 명에 달한다. 그 중 하나는 자신들이 확보한 데이터베이스를 거래하는 시장으로 활용하고 있다. 정부, 금융, 제조, 기술 분야 등 다양한 조직들로부터 얻어낸 데이터베이스가 거래된다고 한다. 지역별로 봤을 때도 고루 분포되어 있어 AIG가 특정 사업이나 국가를 집중적으로 노리는 것으로 보이지는 않는다. 철저히 금전적인 목적으로 피해자가 선정되는 것으로 보인다는 게 기혼의 설명이다.

“AIG는 자신들이 판매하는 데이터베이스를 자신들만이 보유하고 있으며, 다크웹의 그 어떤 시장에서도 얻을 수 없는 것이라고 광고하고 있습니다. 이 말이 사실이라면, AIG는 외부 고객의 의뢰로만 움직이는 게 아니라 그들 스스로도 용병들에게 주문을 넣는다고 볼 수 있습니다. 고객의 요청이 끊길 수 있으니 아무래도 보다 지속적인 수입을 보장할 수 있는 사업 아이템을 만들어 둔 것 같습니다. 가격이 상당히 낮은 편에 속하는 걸 보니 다른 시장에서 사다가 재판매를 하는 것으로 보이지는 않습니다.”

두 번째 텔레그램 채널은 다양한 해킹 대행 서비스를 광고하는 목적으로 운영되고 있다. 여기서 공격 의뢰를 받고, 용병 단체들은 의뢰들에 대해 가격을 제시하는 방식으로 경매에 들어간다. 바로 이 채널을 통해 AIG는 주요 멀웨어 개발자, 소셜엔지니어링 전문가, 레드팀 전문가 등 다양한 사이버 용병 단체들과 인연을 맺는 것으로 보인다.

세 번째 텔레그램 채널은 일종의 커뮤니케이션 채널인데, 이곳을 통해 고객들을 위한 공지 사항을 올리거나, 최근 공격 대상이 된 표적들이 누구인지도 알리는 등의 활동을 이어가고 있다. 또한 여기서 AIG의 각종 서비스를 암호화폐로 거래하기도 한다.

기혼은 “AIG의 사업 모델은 대단히 유연하며, 다른 어떤 사업 모델로도 유연성에 있어서는 흉내 조차 불가능하다”고 설명한다. “늘 같은 멤버로 구성된 팀이 같은 패턴으로 움직일 때에는 경직된 느낌이 강합니다. 할 수 있는 일에도 한계가 있고요. 또한 그 멤버들의 개별 컨디션에 따라 공격 성과가 달라지기도 하죠. 하지만 AIG처럼 사업을 할 때에는 거의 항상 최상의 컨디션을 유지하고 최상의 결과를 낼 수 있지요. 다양한 공격 기법을 발휘할 수도 있고요. 어쩌면 이것이 차후 많은 공격자들에게 영감을 줄 수 있을지도 모르겠습니다.”

3줄 요약
1. 독특한 사업 모델을 갖춘 범죄 집단이 다크웹에 출현.
2. 직접적인 공격 행위(즉, 범법 행위)는 전부 외주로 해결.
3. 최근 늘어나고 있는 해킹 용병단들의 중개 역할을 하고 있는 것으로, 뛰어난 유연성이 강점.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)