새로운 사이버 범죄자들의 둥지로 떠오르는 서부 아프리카

교육은 받았으나 일자리 찾지 못하는 인구, 사이버 범죄로 유입
아직 수준은 낮은 편...소셜 엔지니어링 등 인적 요소 활용 활발

[보안뉴스 문가용 기자] 사이버 범죄의 새로운 육성지로 요즘 서부 아프리카 지역이 주목받고 있다. 서부 아프리카 지역이라고 하면 나이지리아 스캠이나 사업 이메일 침해(BEC) 공격 등 예전부터 이러한 징조가 보이던 곳이기도 하다.

최근 인터폴과 트렌드 마이크로(Trend Micro)가 조사한 결과 서부 아프리카 지역에서 활동하는 사이버 범죄자들은 2013년부터 2015년 사이에 여러 업체들에 약 27억 원의 피해와 일반 개인들에게는 총 4억 2천 2백만 원의 피해를 입혔다. 당연히 이 피해액은 범죄자들의 수익이다. 이 지역의 사이버 범죄자들은 소셜 엔지니어링 기법을 주력으로 활용하고 있다고 한다.

사이버 범죄가 횡행하는 것으로 가장 유명한 지역은 아무래도 동유럽이다. 동유럽이 사이버 범죄의 온상이 된 것은 교육은 잘 받았는데, 일자리가 없는 인구가 많기 때문이다. 이런 현상은 지금 서부 아프리카 지역에서도 눈에 띈다. 이 지역에 있는 약 670개의 대학에서 해마다 1천만 명의 졸업생이 배출되는데, 이중 구직에 성공하는 건 절반도 되지 않는다. 그래서 ‘똑똑한 범죄’에 빨려드는 것이다.

트렌드 마이크로의 CSO인 에드 카브레라(Ed Cabrera)는 “서부 아프리카 지역에서 벌어지고 있는 사이버 범죄의 규모와 깊이는 상상을 초월한다”고 설명한다. “몇 년 전 이 지역에서부터 파생된 각종 사이버 범죄 기법이 계속해서 발전하고 보완되고 있습니다. 그것도 아주 빠른 속도로 말이죠.”

그렇다고는 해도 아직 그 수준이 동유럽과 견줄만한 건 아니다. “서부 아프리카의 범죄 갱단은 아직 시행착오 단계에 있습니다. 여러 가지를 시도해보고, 그걸 통해 배워가는 것이죠. 한참 확장세를 보이고 있는 건 사실입니다만, 대단히 높은 수준에 도달한 건 아닙니다.” 그래서 아직도 스스로를 멀웨어에 감염시키는 경우가 빈번히 발생한다고 트렌드 마이크로는 설명한다. 작년 ‘미스터 엑스(Mr. X)’라는 나이지리아 출신 사이버 범죄단 거물이 실수로 스스로를 감염시켜 체포된 사건 이와 궤를 같이 한다.

하지만 서부 아프리카 지역 범죄자들의 소셜 엔지니어링 스킬은 대단한 수준이다. “기술적인 해킹 기술보다 인적 요소를 활용한 사기 기술이 무척 뛰어납니다. 이 부분에 있어서만큼은 동유럽 해커들보다 더 뛰어납니다.” 인터롭 관계자의 설명이다.

현재 서부 아프리카 범죄단이 주로 노리고 있는 건 기업들의 건강저축계좌들이라고 한다. 보안 업체인 시큐어웍스(SecureWorks)의 전문가들 역시 이런 현상을 눈치 채고 일찌감치 추적을 시작해왔다고 한다. “건강저축계좌 관리자들을 겨냥한 스피어피싱이 급증하고 있습니다. 피해자의 로그인 이름과 비밀번호를 확인해달라는 요청이 담긴 이메일이 전달되죠. 생각 없이 여기에 응하면 그 계좌의 돈은 자금운반책의 계좌로 옮겨집니다.

현재 미국의 국가 건강 정보 공유 및 분석 센터(NH-ISAC)에서 파악한 바로는, 여섯 개의 기업이 이러한 공격에 당해 수천만 달러의 피해를 입었다고 한다. 시큐어웍스는 이러한 규모의 사건이 주기적으로 발생한다고 추가 증언하기도 했다. 시큐어웍스의 멀웨어 분석가인 조 스튜어트(Joe Stewart)는 “서 아프리카 지역에서도 특히 나이지리아가 심각하고, 그 외에 인도네시아에서도 이런 범죄자들이 늘어나고 있습니다.”

하지만 건강저축계좌에 대한 공격은 BEC 공격보다 수익성이 낮다고 스튜어트는 설명한다. “그런 종류의 계좌에는 원래 돈이 많이 저금되어 있지 않죠.” BEC 공격은 작년에 산업과 국가를 막론하고 온 세계를 떠들썩하게 했던 공격으로 약 3조 원의 피해를 발생시킨 것으로 FBI는 집계하고 있다.

하지만 사이버 보안 및 정책 변호사인 케네스 도트(Kenneth Dort)는 “BEC 공격도 어느덧 낡은 공격이 되어버렸다”며 “그래서 계속해서 진화하고 있다”고 설명한다. 인터폴과 트렌드 마이크로가 발견한 바 서부 아프리카 등지에서 활동하고 있는 사이버 범죄자들은 19세에서 39세 사이의 청년들로 기술적인 수준에 따라 두 부류로 나뉜다고 한다. “하나는 야후 보이즈(Yahoo Boys)로 조금은 덜 성숙한 수준에 있으며, 일반적으로 나이나 경험이 더 많은 사람들의 감독 하에 활동합니다. 다른 하나는 차세대 사이버 범죄자(nextlevel cybercriminals)로 BEC 공격, 세금 사기, 키로거, RAT 공격, 피싱 툴, 랜섬웨어 등을 사용할 줄 안다.

이중 후자에 속하는 범죄자들은 40대가 넘는 인물들이 이끄는 갱단에 속해 활동하는 게 보통인데, 이 40대가 넘는 인물들은 반드시 갱단의 지도자가 아니며 각 지역 단체나 교회 등에서 정상적으로 사회 생활을 영위하고 있다고 한다. 즉, 사회적으로 영향력을 가지고 있는 사람들이라는 것. 나이지리아 경찰은 “이러한 부류들 중 약 30%는 현재 검거된 상태”라고 주장하고 있다. 하지만 해당 수치에 대한 근거가 빈약하다는 게 인터폴의 의견이다.
[국제부 문가용 기자(globoan@boannews.com)]

- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다