By MATT BURGESS, WIRED UK
사이버 범죄 세력은 새로운 공격 수법을 발명하는 데 뛰어난 능력을 보일 수 있다. 특히, 큰돈이 걸려있다면, 놀라운 수준으로 능력을 발휘할 것이다. 어느 한 해커가 암호화폐에 투자하고, 적정한 시점에 매도하여 수익을 기록하는 방법을 기술한 50페이지 분량의 에세이를 게재했다. 또 다른 해커는 사용자의 이름과 패스워드를 탈취할 가짜 블록체인 웹사이트를 생성하는 방법 안내 문서를 발행했다. “라벤더 위에 우아한 최고의 사례”라는 제목과 함께 웹캠 모델을 보는 비용을 결제하고자 하는 이들에게 사기 범죄를 저지르는 방식을 설명한 지시 사항을 작성한 해커도 있다.
위에 언급한 사이버 범죄 방법을 설명하는 기이한 문건과 튜토리얼 모음집 모두 사이버 공격 아이디어와 기술적 역량, 작성 능력 등으로 돈을 벌고자 하는 사이버 범죄 세력과 해커의 손에서 탄생했다. 모두 문서 작성을 마치고 러시아어 사이버 범죄 포럼에서 개최한 대회 심사위원단의 평가를 받기 위해 문서를 제출한다. 상금 수천 달러와 함께 개최된 해당 대회는 사이버 범죄 포럼의 가장 기이한 측면을 보여준다.
주로 데이터 탈취, 새로운 보안 취약점 홍보, 다른 사이버 범죄 세력과의 연결 등을 위해 존재하는 러시아어 사이버 범죄 포럼은 지난 10년 이상 포럼 가입자가 사이버 범죄 계획 과정에서 추가로 돈을 벌고, 칭찬을 받을 수 있는 대회를 운영해 왔다. 사이버 보안 기업 소포스(Sophos)는 사이버 범죄 포럼의 경연 대회 운영 과정과 지난 몇 년간 대회 규모가 급속도로 커진 사실을 어느 정도 밝혀낸 분석 결과를 새로이 공개했다. 연구팀은 분석 보고서 도입부에서 대회가 적지 않은 수준의 상금을 제공할 가능성을 언급했다. 최근, 어느 한 사이버 범죄 포럼에서 개최된 대회의 총 상금은 8만 달러였다.
소포스 X-Ops 위협 연구 소장 크리스토퍼 버드(Christopher Budd)는 “경연 대회를 이용하여 다양한 사이버 범죄 계획을 말하도록 유도할 수 있다. 간혹 사이버 범죄자가 대회에 제출하는 범죄 계획 및 설명 문서는 새로운 공격 수법이거나 작성자가 직접 고안한 방법은 인다. 그러나 문서로 다룬 사이버 범죄 작전은 어느 정도 흥미로운 방법을 제시하거나 다른 사이버 범죄 세력이 매력적이라고 느낄 만한 범죄 작전을 다룬다”라고 말했다.
소포스 연구원 매트 윅시(Matt Wixey)는 사이버 범죄 포럼 익스플로잇(Exploit)과 XSS에서 열린 경연 대회를 조사했다. 익스플로잇과 XSS 관리자는 사용자에게 기사 형태로 사이버 범죄 아이디어를 작성하여 제출하라는 공지 사항을 발표했다. 대회 참가자 대부분 러시아어로 문서를 작성했으나 간혹 영어로 문서를 번역한 이들이 포럼 내 우수한 사용자라는 평가를 받는다.
XSS에서 가장 최근 열린 경연대회는 2022년 3월부터 7월까지 진행됐다. 총 상금은 2022년 기준 1만 5,000달러에서 인상된 4만 달러이다. 소포스의 분석 보고서는 사이버 범죄 포럼 경연 대회가 일반적이며, 포럼 구성원은 약 6가지 주제를 다룬 글을 제출하라는 요청을 받는다. 멀웨어 개발과 바이러스 방지 프로그램과 보안 제품의 감지를 피할 방식, 악성 코드를 숨길 방법, 소셜 엔지니어링 수법 모두 대회 주제 목록에 포함된다.
익스플로잇이 가장 최근 개최한 경연 대회는 총 상금으로 XSS보다 더 많은 8만 달러를 내걸었으나 2021년 4월, 암호화폐 공격, 탈취, 취약점 사용 기회를 요구하는 등 더 구체적인 조건을 제시했다. 대회의 하위 주제 중에는 “진부한 내용을 제외한 암호화폐 보안 작업”이라는 주제도 있었다.
버드 소장은 “사이버 범죄 세계가 합법적인 사업의 최고의 관행 반영 및 변경, 채택하는 추세를 보여주는 또 다른 방식이다”라고 말했다. 버드 소장은 사이버 범죄 포럼 경연 대회의 일부 과정과 사이버 공격 시작을 블랙햇(Black Hat), 데프콘(Defcon), Pwn2Own 등 합법적인 사이버 보안 연구 컨퍼런스 및 행사와 같다고 말했다. 문제를 발견하여 제품과 서비스 보안 수준을 강화한 뒤 동료와 공유하는 사이버 보안 연구원과는 달리 사이버 범죄 세력은 악성 공격 작업을 생성한다.
사이버 범죄 경연 대회도 부정행위를 방지할 자체 규정을 두고 있다. 익스플로잇은 “사이버 공격 방식이 다른 곳에 공개된 적이 없어야 한다”, “의미 있는 공격 방식을 길게 기술해야 한다”, “코드나 알고리즘 등 기술적 상세 정보를 포함해야 한다”, “공백 제외 최소 5,000자 작성” 등 대회에 제출할 문서 규정을 공지했다. 분량은 약 1,000단어 이상이거나 와이어드 기사의 길이와 비슷한 수준이 되어야 한다. XSS는 경연 대회 규정으로 “복사-붙이기는 대회 참가 대상에서 제외된다”와 같은 비슷한 규정을 명시했다. 다만, 제출해야 할 문서 분량은 최소 7,000자로, 익스플로잇보다 길다. 또한, 제대로 된 양식과 철자, 문장 부호 사용도 대회 준수 조건으로 제시했다.
그러나 사기꾼은 사기를 저지르게 된다. 익스플로잇과 XSS가 가장 최근 개최한 대회에 접수된 문서는 각각 35건, 38건이다. 그러나 XSS는 제출된 문서 중 10건을 무효로 분류했다. 대회 우승자는 각각의 사이버 범죄 포럼 구성원이 투표로 결정하지만, 관리자가 우승자를 선택할 수도 있다. 또, 소포스는 사이버 범죄 포럼 대회 투표에서 투표 조작 관련 불만이 제기된 사실을 확인했다.
대회는 시간이 지날수록 진화함과 동시에 규모도 커졌다. 사이버 보안 기업 디지털 섀도우스(Digital Shadows)가 렐리아퀘스트(ReliaQuest)에 인수된 후 진행한 연구를 통해 사이버 범죄 포럼 경연 대회가 2006년에 시작된 것으로 나타났다. 렐리아퀘스트 사이버 위협 정보 애널리스트 로만 페이스풀(Roman Faithfull)은 초기 사이버 범죄 경연 대회는 매우 간단했다고 설명했다. 그는 “대회 초기에는 어느 정도 제한된 범위에서만 진행됐다. 항상 포럼 관리자가 대회를 주최한 것은 아니었다”라고 말했다.
초기 대회 중에는 포럼 구성원에게 로고 디자인이나 포럼 내 가장 오래된 계정 활동 이력을 보유한 포럼 스레드 댓글 작성자에게 소액의 상금 보상을 지급하는 대회도 있었다. 페이스풀은 “사이버 보안 포럼이 갈수록 발전하면서 대회도 전반적으로 더 발전했다”라고 전했다.
2015년부터 거의 매년 열린 사이버 보안 경연 대회는 기사와 코드 작성 및 제출에 초점을 맞추었다. 페이스풀은 “주로 사이버 공격 세력이 범죄 수익을 얻을 공격 개시 방안에 초점을 맞추었다”라고 덧붙였다. 그와 동시에 상금 규모도 커졌다. XSS는 2018년 대회 상금으로 1,000달러를 내걸었으나 이후 4만 달러로 인상하고, 2021년 대회 승자에게 1만 4,000달러를 지급했다. 페이스풀은 “사이버 범죄 포럼 경연 대회에서 찾아내기 어려우면서 즉시 현금이 필요한 상황이 아니라면, 실제로 최고의 사이버 범죄 수법을 제시하는 이는 없다. 랜섬웨어 그룹이나 실제로 범죄 수익이 높은 조직이 대회에 참가한 사례를 보기 어렵다”라고 설명했다.
익스플로잇과 XSS의 대회에 제출된 사이버 범죄 시작점은 그 범위가 넓다. 일부 참가자는 비교적 새로운 방법을 개발하였으나 반대로 다른 곳에서 찾을 수 있는 정보를 반복하여 설명한 이들도 있다. 2021년, 익스플로잇의 암호화폐 범죄 대회 우승자는 블록체인닷컴의 웹사이트를 복제했다. 소포스 연구팀은 웹사이트 복제 방식이 전체적으로 비교적 간단하다고 설명했다. 연구팀은 “복제된 웹사이트는 일반적으로 다른 피싱 공격이나 신원 수집 웹사이트에서 이용하는 수법이다”라고 언급했다.
익스플로잇의 다른 우승자나 대회 주요 수상자는 코인 상장을 공격 대상으로 삼고, 피싱 웹사이트를 개설하여 피해자의 암호화폐 계정 상세 정보를 탈취하는 방법과 암호화폐를 처음부터 발행하는 방법을 제시했다. 그러나 소포스 연구팀은 수년 전부터 계정 탈취 및 암호화폐 발행 사기 튜토리얼을 공개적으로 발견할 수 있다고 지적했다.
XSS의 어느 한 대회 참가자는 마이크로소프트 액티브 디렉토리 서비스를 공격하여 해킹 툴을 윈도 바이러스 방지 시스템이 감지하지 못하도록 숨긴 실제 경험을 이야기했다. 하지만 우승자는 전자 결제 시스템의 취약점에 초점을 맞추었다. 또한, XSS 포럼에 예상치 못한 상황에서 암호화폐를 생성하는 방법을 제시했다. 하드웨어에 초점을 맞춘 대회 참가자는 단 한 명이었다. 해당 참가자는 하드웨어 암호화폐 지갑을 개설하고, 사진과 CAD 도면을 첨부하는 방식을 기술한 문서를 제출했다. 사이버 범죄에만 초점을 맞추지 않았으며, 비트코인과 다른 암호화폐를 안전하게 보호하는 방식과 더 관련되었다.
버드 소장은 “이번 연구는 사이버 범죄 세력이 연구하는 바를 전체적으로 이해할 수 있다는 점에서 도움이 된다”라며, 사이버 범죄 포럼 경연 대회의 주요 목표가 포럼 활동 독려라는 생각을 덧붙여 전했다. 다양한 규모의 사이버 범죄 포럼 여러 곳이 한때 운영되다가 더 나은 대회와 기술 정보, 기타 혜택 등이 제시된다면, 활동이 뜸해진 이들의 복귀를 유도할 좋은 기회가 되기 때문이다.
그러나 대회는 더 체계적으로 형성된 사이버 범죄 조직의 공격 수법 개발에 도움이 될 수도 있다. 대회 상금은 종종 사이버 범죄 포럼 소유자가 지급하지만, 올 월드 카드(All World Cards), 록빗(LockBit) 등 일부 유명한 사이버 범죄 조직의 자금 지원을 받아 진행될 수도 있다. 2022년, XSS의 대회는 랜섬웨어 조직 콘티(Conti)와 어느 정도 관련된 알란 웨이크(Alan Wake)라는 사이버 범죄자의 후원을 받아 개최되었다. XSS에 게재된 어느 한 게시글에는 “대회 후원자가 대회 참가자가 제출한 기사에 만족한다면, 대회 이후 알란 웨이크가 이끄는 팀에서 거액의 영입 제안을 받을 수 있다”라는 내용이 작성되었다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
The Weird, Big-Money World of Cybercrime Writing Contests
사이버 범죄 세력은 새로운 공격 수법을 발명하는 데 뛰어난 능력을 보일 수 있다. 특히, 큰돈이 걸려있다면, 놀라운 수준으로 능력을 발휘할 것이다. 어느 한 해커가 암호화폐에 투자하고, 적정한 시점에 매도하여 수익을 기록하는 방법을 기술한 50페이지 분량의 에세이를 게재했다. 또 다른 해커는 사용자의 이름과 패스워드를 탈취할 가짜 블록체인 웹사이트를 생성하는 방법 안내 문서를 발행했다. “라벤더 위에 우아한 최고의 사례”라는 제목과 함께 웹캠 모델을 보는 비용을 결제하고자 하는 이들에게 사기 범죄를 저지르는 방식을 설명한 지시 사항을 작성한 해커도 있다.
위에 언급한 사이버 범죄 방법을 설명하는 기이한 문건과 튜토리얼 모음집 모두 사이버 공격 아이디어와 기술적 역량, 작성 능력 등으로 돈을 벌고자 하는 사이버 범죄 세력과 해커의 손에서 탄생했다. 모두 문서 작성을 마치고 러시아어 사이버 범죄 포럼에서 개최한 대회 심사위원단의 평가를 받기 위해 문서를 제출한다. 상금 수천 달러와 함께 개최된 해당 대회는 사이버 범죄 포럼의 가장 기이한 측면을 보여준다.
주로 데이터 탈취, 새로운 보안 취약점 홍보, 다른 사이버 범죄 세력과의 연결 등을 위해 존재하는 러시아어 사이버 범죄 포럼은 지난 10년 이상 포럼 가입자가 사이버 범죄 계획 과정에서 추가로 돈을 벌고, 칭찬을 받을 수 있는 대회를 운영해 왔다. 사이버 보안 기업 소포스(Sophos)는 사이버 범죄 포럼의 경연 대회 운영 과정과 지난 몇 년간 대회 규모가 급속도로 커진 사실을 어느 정도 밝혀낸 분석 결과를 새로이 공개했다. 연구팀은 분석 보고서 도입부에서 대회가 적지 않은 수준의 상금을 제공할 가능성을 언급했다. 최근, 어느 한 사이버 범죄 포럼에서 개최된 대회의 총 상금은 8만 달러였다.
소포스 X-Ops 위협 연구 소장 크리스토퍼 버드(Christopher Budd)는 “경연 대회를 이용하여 다양한 사이버 범죄 계획을 말하도록 유도할 수 있다. 간혹 사이버 범죄자가 대회에 제출하는 범죄 계획 및 설명 문서는 새로운 공격 수법이거나 작성자가 직접 고안한 방법은 인다. 그러나 문서로 다룬 사이버 범죄 작전은 어느 정도 흥미로운 방법을 제시하거나 다른 사이버 범죄 세력이 매력적이라고 느낄 만한 범죄 작전을 다룬다”라고 말했다.
소포스 연구원 매트 윅시(Matt Wixey)는 사이버 범죄 포럼 익스플로잇(Exploit)과 XSS에서 열린 경연 대회를 조사했다. 익스플로잇과 XSS 관리자는 사용자에게 기사 형태로 사이버 범죄 아이디어를 작성하여 제출하라는 공지 사항을 발표했다. 대회 참가자 대부분 러시아어로 문서를 작성했으나 간혹 영어로 문서를 번역한 이들이 포럼 내 우수한 사용자라는 평가를 받는다.
XSS에서 가장 최근 열린 경연대회는 2022년 3월부터 7월까지 진행됐다. 총 상금은 2022년 기준 1만 5,000달러에서 인상된 4만 달러이다. 소포스의 분석 보고서는 사이버 범죄 포럼 경연 대회가 일반적이며, 포럼 구성원은 약 6가지 주제를 다룬 글을 제출하라는 요청을 받는다. 멀웨어 개발과 바이러스 방지 프로그램과 보안 제품의 감지를 피할 방식, 악성 코드를 숨길 방법, 소셜 엔지니어링 수법 모두 대회 주제 목록에 포함된다.
익스플로잇이 가장 최근 개최한 경연 대회는 총 상금으로 XSS보다 더 많은 8만 달러를 내걸었으나 2021년 4월, 암호화폐 공격, 탈취, 취약점 사용 기회를 요구하는 등 더 구체적인 조건을 제시했다. 대회의 하위 주제 중에는 “진부한 내용을 제외한 암호화폐 보안 작업”이라는 주제도 있었다.
버드 소장은 “사이버 범죄 세계가 합법적인 사업의 최고의 관행 반영 및 변경, 채택하는 추세를 보여주는 또 다른 방식이다”라고 말했다. 버드 소장은 사이버 범죄 포럼 경연 대회의 일부 과정과 사이버 공격 시작을 블랙햇(Black Hat), 데프콘(Defcon), Pwn2Own 등 합법적인 사이버 보안 연구 컨퍼런스 및 행사와 같다고 말했다. 문제를 발견하여 제품과 서비스 보안 수준을 강화한 뒤 동료와 공유하는 사이버 보안 연구원과는 달리 사이버 범죄 세력은 악성 공격 작업을 생성한다.
사이버 범죄 경연 대회도 부정행위를 방지할 자체 규정을 두고 있다. 익스플로잇은 “사이버 공격 방식이 다른 곳에 공개된 적이 없어야 한다”, “의미 있는 공격 방식을 길게 기술해야 한다”, “코드나 알고리즘 등 기술적 상세 정보를 포함해야 한다”, “공백 제외 최소 5,000자 작성” 등 대회에 제출할 문서 규정을 공지했다. 분량은 약 1,000단어 이상이거나 와이어드 기사의 길이와 비슷한 수준이 되어야 한다. XSS는 경연 대회 규정으로 “복사-붙이기는 대회 참가 대상에서 제외된다”와 같은 비슷한 규정을 명시했다. 다만, 제출해야 할 문서 분량은 최소 7,000자로, 익스플로잇보다 길다. 또한, 제대로 된 양식과 철자, 문장 부호 사용도 대회 준수 조건으로 제시했다.
그러나 사기꾼은 사기를 저지르게 된다. 익스플로잇과 XSS가 가장 최근 개최한 대회에 접수된 문서는 각각 35건, 38건이다. 그러나 XSS는 제출된 문서 중 10건을 무효로 분류했다. 대회 우승자는 각각의 사이버 범죄 포럼 구성원이 투표로 결정하지만, 관리자가 우승자를 선택할 수도 있다. 또, 소포스는 사이버 범죄 포럼 대회 투표에서 투표 조작 관련 불만이 제기된 사실을 확인했다.
대회는 시간이 지날수록 진화함과 동시에 규모도 커졌다. 사이버 보안 기업 디지털 섀도우스(Digital Shadows)가 렐리아퀘스트(ReliaQuest)에 인수된 후 진행한 연구를 통해 사이버 범죄 포럼 경연 대회가 2006년에 시작된 것으로 나타났다. 렐리아퀘스트 사이버 위협 정보 애널리스트 로만 페이스풀(Roman Faithfull)은 초기 사이버 범죄 경연 대회는 매우 간단했다고 설명했다. 그는 “대회 초기에는 어느 정도 제한된 범위에서만 진행됐다. 항상 포럼 관리자가 대회를 주최한 것은 아니었다”라고 말했다.
초기 대회 중에는 포럼 구성원에게 로고 디자인이나 포럼 내 가장 오래된 계정 활동 이력을 보유한 포럼 스레드 댓글 작성자에게 소액의 상금 보상을 지급하는 대회도 있었다. 페이스풀은 “사이버 보안 포럼이 갈수록 발전하면서 대회도 전반적으로 더 발전했다”라고 전했다.
2015년부터 거의 매년 열린 사이버 보안 경연 대회는 기사와 코드 작성 및 제출에 초점을 맞추었다. 페이스풀은 “주로 사이버 공격 세력이 범죄 수익을 얻을 공격 개시 방안에 초점을 맞추었다”라고 덧붙였다. 그와 동시에 상금 규모도 커졌다. XSS는 2018년 대회 상금으로 1,000달러를 내걸었으나 이후 4만 달러로 인상하고, 2021년 대회 승자에게 1만 4,000달러를 지급했다. 페이스풀은 “사이버 범죄 포럼 경연 대회에서 찾아내기 어려우면서 즉시 현금이 필요한 상황이 아니라면, 실제로 최고의 사이버 범죄 수법을 제시하는 이는 없다. 랜섬웨어 그룹이나 실제로 범죄 수익이 높은 조직이 대회에 참가한 사례를 보기 어렵다”라고 설명했다.
익스플로잇과 XSS의 대회에 제출된 사이버 범죄 시작점은 그 범위가 넓다. 일부 참가자는 비교적 새로운 방법을 개발하였으나 반대로 다른 곳에서 찾을 수 있는 정보를 반복하여 설명한 이들도 있다. 2021년, 익스플로잇의 암호화폐 범죄 대회 우승자는 블록체인닷컴의 웹사이트를 복제했다. 소포스 연구팀은 웹사이트 복제 방식이 전체적으로 비교적 간단하다고 설명했다. 연구팀은 “복제된 웹사이트는 일반적으로 다른 피싱 공격이나 신원 수집 웹사이트에서 이용하는 수법이다”라고 언급했다.
익스플로잇의 다른 우승자나 대회 주요 수상자는 코인 상장을 공격 대상으로 삼고, 피싱 웹사이트를 개설하여 피해자의 암호화폐 계정 상세 정보를 탈취하는 방법과 암호화폐를 처음부터 발행하는 방법을 제시했다. 그러나 소포스 연구팀은 수년 전부터 계정 탈취 및 암호화폐 발행 사기 튜토리얼을 공개적으로 발견할 수 있다고 지적했다.
XSS의 어느 한 대회 참가자는 마이크로소프트 액티브 디렉토리 서비스를 공격하여 해킹 툴을 윈도 바이러스 방지 시스템이 감지하지 못하도록 숨긴 실제 경험을 이야기했다. 하지만 우승자는 전자 결제 시스템의 취약점에 초점을 맞추었다. 또한, XSS 포럼에 예상치 못한 상황에서 암호화폐를 생성하는 방법을 제시했다. 하드웨어에 초점을 맞춘 대회 참가자는 단 한 명이었다. 해당 참가자는 하드웨어 암호화폐 지갑을 개설하고, 사진과 CAD 도면을 첨부하는 방식을 기술한 문서를 제출했다. 사이버 범죄에만 초점을 맞추지 않았으며, 비트코인과 다른 암호화폐를 안전하게 보호하는 방식과 더 관련되었다.
버드 소장은 “이번 연구는 사이버 범죄 세력이 연구하는 바를 전체적으로 이해할 수 있다는 점에서 도움이 된다”라며, 사이버 범죄 포럼 경연 대회의 주요 목표가 포럼 활동 독려라는 생각을 덧붙여 전했다. 다양한 규모의 사이버 범죄 포럼 여러 곳이 한때 운영되다가 더 나은 대회와 기술 정보, 기타 혜택 등이 제시된다면, 활동이 뜸해진 이들의 복귀를 유도할 좋은 기회가 되기 때문이다.
그러나 대회는 더 체계적으로 형성된 사이버 범죄 조직의 공격 수법 개발에 도움이 될 수도 있다. 대회 상금은 종종 사이버 범죄 포럼 소유자가 지급하지만, 올 월드 카드(All World Cards), 록빗(LockBit) 등 일부 유명한 사이버 범죄 조직의 자금 지원을 받아 진행될 수도 있다. 2022년, XSS의 대회는 랜섬웨어 조직 콘티(Conti)와 어느 정도 관련된 알란 웨이크(Alan Wake)라는 사이버 범죄자의 후원을 받아 개최되었다. XSS에 게재된 어느 한 게시글에는 “대회 후원자가 대회 참가자가 제출한 기사에 만족한다면, 대회 이후 알란 웨이크가 이끄는 팀에서 거액의 영입 제안을 받을 수 있다”라는 내용이 작성되었다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
The Weird, Big-Money World of Cybercrime Writing Contests
저작권자 © WIRED Korea 무단전재 및 재배포 금지
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다