세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
서로 물고 뜯는 사이버 범죄자들, 아는 만큼 더 무섭다
  |  입력 : 2017-05-31 16:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 범죄자, 일반인 공격하는 만큼 서로 맹렬히 공격
다크 웹 내 영역 확장, 고객 유치, 공격 영향 확대 등 목적


[보안뉴스 오다인 기자] 사이버 범죄를 저지르는 사람들 사이에는 일종의 유대감이 있을 것 같지만, 그건 영화 속 이야기인가 보다. 실상 지하 세계에서 그들은 서로를 혐오하는 것처럼 보인다는 연구 결과가 나왔다. 보안 전문업체 트렌드 마이크로(Trend Micro)의 다크 웹(Dark Web) 연구에 따르면, 사이버 범죄자들은 일반 피해자를 공격할 때와 같이 맹렬하게 서로를 공격하는 것으로 나타났다.

[이미지=iclickart]

트렌드 마이크로는 최근 토르 네트워크(Tor network)에 네 개의 허니팟(honeypot)을 설치해 범죄 사업자처럼 가장했다. 각 허니팟은 1) 초대된 사람만 입장할 수 있는 장물아비, 2) 등록된 사용자만 활동이 가능한 지하 포럼, 3) 민감한 문서들이 있는 개인 FTP 파일 서버, 4) 맞춤 범죄 서비스를 제공하는 블로그인 것처럼 보이도록 꾸며졌다.

이번 실험은 다크 웹에서 활동하는 사이버 범죄자들이 토르 네트워크 내 다른 범죄자들의 서비스나 서버를 공격하는지 알아보려고 기획됐다. 결과부터 말하면 “그렇다”고 한다. 허니팟을 운영한 지난 6개월 간, 트렌드 마이크로는 수없이 많은 공격을 받았다고 한다. 보안 전문가나 수사기관이 아니라 범죄자들이 실행한 것이었다. 5월에는 특히 공격이 많아 하루 평균 170건을 기록하기도 했다.

트렌드 마이크로의 수석 연구원 마르코 발두지(Marco Balduzzi)는 “범죄 조직들이 다크 웹에서 영역을 넓히기 위해 상대 조직을 적극적으로 공격하고 있다”고 말한다. 발두지에 따르면, 다크 웹은 해킹 서비스, 제로데이 취약점, 기타 멀웨어 같은 음성적 서비스나 불법 약물과 같은 제품을 거래하기에 딱 좋은 플랫폼이다. “이런 ‘쇼핑 사이트’를 운영하는 범죄자들은 잠재 고객을 자기 가게로 끌어오기 위해 다른 범죄자를 적극적으로 깎아내립니다.”

또한 사이버 범죄자들은 경쟁자들의 서비스나 서버를 통해 디도스 공격 등을 비롯한 다양한 사이버 공격을 실시하려고 호시탐탐 기회를 엿보기도 한다. 그래야 자신들의 정체가 발각될 확률이 더 낮아지기 때문이다. 발두지는 “토르 같은 다크 웹이 프로토콜 익명성과 기밀성을 보장하기 때문에, 공격자는 이런 네트워크 내에서 침해된 기기를 통해 제3자에게 자신을 알리지 않고 공격을 펼칠 수 있게 된다”고 설명했다.

그 외에는 1) 허니팟으로 들어가는 트래픽을 다른 경쟁 조직의 웹사이트로 우회시키려는 시도, 2) 허니팟으로 들어가거나 허니팟에서 나오는 트래픽을 가로채거나 내용을 파악하려는 시도, 3) (FTP로 가장한 허니팟의 경우) 침투하여 데이터를 훔쳐내려는 시도가 있었다고 한다.

흥미롭게도 트렌드 마이크로의 보안 연구진은 토르 네트워크에 호스트된 서비스들이 흔히들 생각하는 것처럼 대단히 깊게 숨어있거나 아예 접근이 불가능한 게 아니라는 사실을 발견했다. Tor2Web 같은 토르 프록시를 사용하면 평범한 인터넷 사용자도 토르 네트워크에 접근해 원래라면 검색되지 않는 서비스에 접근할 수 있게 된다.

트렌드 마이크로가 토르에 설치한 허니팟 역시 일반 인터넷으로 접근할 수 있었으며 실제로 5월 한 달 동안 발생한 대부분의 공격이 평범한 인터넷을 통해 이뤄졌다. 발두지는 “다크 웹에 숨겨진 서비스들 역시 인터넷 상에 있는 보통의 웹사이트와 거의 동일한 방법으로 공격을 받는다”고 지적한다. “다크 웹에 있다고 해서 자동으로 안전해지는 건 아닙니다. 혹시 다크 웹을 통해 합법적인 사업을 하는 분들이 있다면, 일반 웹사이트의 보안을 강화하듯 다크 웹에 마련된 사이트도 똑같이 강화하라고 권장하고 싶습니다.”

인터넷 상에서의 공격이 상당수 자동화되고 상대적으로 질이 떨어지는 것과는 다르게, 다크 웹 내의 공격은 매우 구체적인 목적을 가진 사람들에 의해 수동으로 실행된다. 발두지는 “인터넷 상의 웹사이트들은 구글 같은 검색 엔진에 의해 잘 정리되어 있기 때문에, 공격자들은 취약한 사이트를 간편하게 찾아낼 수 있다”고 설명한다. “하지만 이런 정리 작업은 봇 등이 자동으로 실시하고, 공격 자체도 자동화 되어 있기 때문에 헛손질이나 헛발질이 많이 나오는 편입니다. 반면 다크 웹에서 발생하는 공격들은 정확한 목적 아래 이루어지는 것이기 때문에 훨씬 정교하죠.”
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)