크리스마스 시즌에 쇼핑객들은 가장 저렴한 가격에 최고의 선물을 구입하기 위해 인터넷을 샅샅이 뒤지고 있습니다. 이맘때 할인 행사를 찾아다니는 이들은 일반 소비자만이 아닙니다. 수많은 사이버 범죄자들도 다른 누군가의 돈으로 쇼핑을 즐기고 지하 경제 시장에서 불법 상품과 서비스를 사고팝니다. 거래 장소만 안다면 불법 유출된 데이터와 온라인 계정, 맞춤형 악성 코드, 공격 서비스와 인프라스트럭처, 사기 상품권 등 온갖 품목을 구매할 수 있습니다.
불법 상품 및 서비스의 가격은 그 내용에 따라 천차만별이지만, 예산이 빠듯한 사이버 범죄자도 형편에 맞게 구매할 수 있습니다. 훔친 데이터와 계정은 1달러 미만에 구매 가능합니다. 공격 인프라스트럭처와 같은 큰 규모의 서비스는 백 달러에서 수천 달러짜리도 있습니다. 그러나 공격자가 이러한 인프라스트럭처로 벌어들일 잠재적 이익을 생각하면 이 정도의 초기 비용은 괜찮은 투자일 수도 있습니다.
지난 12개월 동안 발생한 모든 데이터 유출 및 POS(point-of-sale) 악성 코드 침해 사고를 고려하면, 지하 경제 시장이 훔쳐낸 데이터로 과잉 상태가 되어 가격이 하락하고 있을 것 같습니다. 하지만 흥미롭게도 이 시장의 모든 불법 상품이 그런 것은 아닙니다.
지하 경제의 구매 활동
일부 불법 시장은 공개 인터넷을 통해 확인할 수 있지만, 올해 지하 경제 사이트에 대한 뉴스 보도가 증가하면서 많은 스캐머들이 인터넷상의 은밀한 곳으로 숨어들었습니다. 예를 들어, 일부 포럼은 어노니머스 토르(Tor) 네트워크에서 비밀 서비스로 호스팅되고 있습니다. 일부 시장은 초대를 받아야만 액세스 가능하며 입장료(예: 현금 또는 최근에 유출된 신용 카드 100장 등의 상품)를 내야 합니다. 비공개 채팅방에서 운영되고 엄격한 심사 절차를 거쳐 신규 회원을 받는 곳도 있습니다. 이와 같은 폐쇄형 조직에서는 대개 가격이 훨씬 저렴하며 상품 또는 서비스가 대량으로 거래됩니다.
훔친 데이터 판매
이메일 계정과 같은 일부 데이터는 가격이 크게 떨어졌지만, 온라인 은행 계좌 정보와 같이 더 수익성 높은 정보는 안정적인 가격을 유지하고 있습니다. 2007년에는 훔친 이메일 계정의 가격이 4달러 ~ 30달러였고 2008년에는 10센트 ~ 100달러에서 오르내렸으며 2009년의 가격은 1달러 ~ 20달러 수준이었습니다. 지금은 50센트 ~ 10달러를 내면 훔친 이메일 계정 1,000개를 받을 수 있습니다. 이와 같은 최근 가격 동향은 현재 공급 과잉 상태이고 시장이 그에 따라 조정되었음을 확실히 보여줍니다.
반면에 신용 카드 정보의 가치는 최근 몇 년간 떨어지지 않았습니다. 2007년에는 개당 40센트 ~ 20달러에 판다는 광고를 볼 수 있었습니다. 거래 가격은 카드 브랜드, 출처 국가, 제공되는 카드 메타데이터의 양, 대량 구매 할인, 카드 데이터 유출 시점, 즉 신선도 등 다양한 변수에 따라 달라집니다. 2008년에 신용 카드 데이터의 평균 호가는 6센트 ~ 30달러로 약간 높아졌고 그해 말에는 85센트 ~ 30달러까지 올라갔습니다. 현재 가격대는 10센트 ~ 20달러입니다. 대체로 신용 카드 데이터의 가격은 지난 몇 년간 소폭 하락했습니다. 특히 사이버 범죄자들이 대량 거래하는 경우에는 더욱 그렇습니다.
물론 실제 거래를 볼 수는 없고 이 가격대의 상한선을 지불하는 구매자가 얼마나 되는지도 알 수 없습니다. 도난 상품의 품질도 의심스럽습니다. 어떤 판매자는 오래된 데이터를 팔거나 동일한 데이터를 여러 번 재판매하려고 합니다. 따라서 판매자의 계정이 아직 활성 상태이거나 신용 카드가 사용 정지되지 않았음을 입증하는 부가 서비스 상품이 각광받는 이유를 짐작할 수 있습니다. 대부분의 지하 경제 시장은 데이터의 신선도에 대한 보증 서비스도 제공하는데, 사용 정지된 신용 카드일 경우 구매 후 15분 내에 교환이 가능합니다. 시장에서는 수요가 있으면 이를 해결할 누군가가 나타나기 마련입니다.
공격 서비스 대행
서비스 형태의 크라임웨어(crimeware-as-a-service)도 지하 경제 시장에서 인기를 얻고 있습니다. 공격자는 봇넷이나 기타 온라인 스캠을 실행하는 데 필요한 인프라스트럭처 일체를 쉽게 대여할 수 있습니다. 따라서 직접 공격 캠페인을 시작할 만한 기술력이 없는 초보 범죄자도 어렵지 않게 사이버 범죄에 가담할 수 있습니다.
업데이트와 24/7 지원을 포함한 드라이브바이 다운로드(Drive-by Download) 웹 툴킷은 한 주에 100달러 ~ 700달러의 요금으로 대여할 수 있습니다. 온라인 뱅킹 악성 코드인 SpyEye(Trojan.Spyeye로 탐지됨)는 6개월 대여료가 150달러 ~ 1,250달러이며, 분산형 서비스 거부(DDoS) 공격의 경우 1일 기준 10달러 ~ 1,000달러에 주문 가능합니다. 구매자가 직접적으로 금전적 이익을 얻을 수 있는 상품이나 서비스는 시가가 안정적입니다.
랜섬웨어의 진화
디지털 갈취라고도 하는 랜섬웨어가 개인 사용자와 기업에게 더욱 심각한 문제가 되었습니다. 간단히 정의하자면 랜섬웨어는 감염시킨 컴퓨터 시스템에 대한 액세스를 어떤 식으로든 제한한 다음 그 제한을 없애려면 악성 코드 운영자에게 돈을 지불하도록 요구하는 악성 코드 유형입니다.
현재 랜섬웨어 보안 위협의 대부분은 Windows 운영 체제를 실행하는 PC를 표적으로 합니다. 물론 그리 놀라운 사실은 아닙니다. 실제로 데스크탑 시스템 OS 시장의 89%가 Windows 기반 시스템이기 때문입니다. 그 나머지는 Mac OS X과 Linux가 점유하고 있습니다. 랜섬웨어가
경제적 이익을 노린 사이버 범죄 활동인 만큼 공격자는 잠재적 투자 효과를 극대화하고자 합니다.
이제 랜섬웨어는 지하 경제 시장을 대표하는 또 다른 악성 코드 상품으로 자리잡았습니다.
사기 쿠폰과 티켓의 현금화
사이버 범죄자들은 이익을 현금화할 새로운 전략을 끊임없이 고안합니다. 쿠폰과 온라인 상품권이 현재 인기를 얻고 있는데, 온라인에서 쉽게 거래하거나 팔 수 있기 때문입니다. 공격자는 훔친 신용 카드로 결제하여 구매하거나 하이재킹한 온라인 소매업체 계정으로 쿠폰과 상품권을 제작하기도 합니다. 그런 다음 정가의 50% ~ 65% 가격에 되팝니다. 또는 호텔 숙박권, 항공권, 열차표를 최초 권장 가격의 약 10%에 판매하기도 합니다. 물론 이러한 티켓의 구매자는 위험 부담이 큽니다. 최근 한 다국적 수사 작전을 통해 118명이 사기 티켓을 사용하거나 도난당한 카드 데이터로 항공권을 구매한 혐의로 체포되었습니다. 항공업계는 사기 티켓으로 인해 연간 약 10억 달러의 손실을 입고 있다고 추정합니다.
소포 재발송 대행과 같은 오래된 방식은 더 이상 인기가 없습니다. 이는 훔친 신용 카드로 고가의 상품을 구입한 다음 아무 관계 없는 사람에게 배송되도록 한 후 그 사람이 공격자의 익명 사서함으로 상품을 재발송하게 하는 수법입니다. 하지만 많은 쇼핑몰에서 신용 카드에 등록된 자택 주소로만 상품을 배송하기 시작하면서 이 방법은 더욱 어렵게 되었습니다. 그 때문에 일부 공격자는 배송 서비스를 선택하지 않고 가까운 오프라인 매장에서 물건을 직접 수령합니다.
광범위한 지하 경제 시장
지하 경제 시장에서는 그 밖에도 다양한 상품과 서비스를 취급하고 있습니다. 이를테면 아래와 같습니다.
- 진짜 여권의 스캔 사진(1달러 ~ 2달러) - 신원 도용에 사용할 수 있습니다.
- 훔친 게임 계정(10달러 ~ 15달러) - 고가의 가상 아이템을 얻을 수 있습니다.
- 맞춤형 악성 코드(12달러 ~ 3,500달러) - 예를 들어, 결제 대상을 공격자로 바꾸는 방법으로 비트코인을 훔치는 툴이 있습니다.
- 소셜 네트워크 팔로어 1,000명(1달러 ~ 12달러)
- 훔친 클라우드 계정(5달러 ~ 8달러) - 명령 및 제어(C&C) 서버 호스팅에 사용할 수 있습니다.
- 확인된 이메일 주소 1백만 개에 스팸 발송(70달러 ~ 150달러)
- 등록 및 활성화된 러시아 휴대폰 SIM 카드(100달러)
보호
이와 같이 지하 경제 시장이 호황을 누리는 만큼 개인이 각자 본인의 데이터와 신원을 확실하게 보호할 필요가 있습니다. 그렇지 않으면 이번 크리스마스 시즌에 내 개인 정보가 어떤 사이버 범죄자의 장바구니에 담겨 있을지도 모릅니다.
시만텍이 권장하는 아래와 같은 기본적인 보안 지침을 따르십시오.
- 항상 강력한 암호를 사용하고 절대 여러 웹 사이트에서 재사용하지 마십시오.
- 모든 장치의 소프트웨어를 정기적으로 업데이트하여 알려진 취약점에 대한 익스플로잇 공격을 방지하십시오.
- 개인 정보 또는 금융 정보를 입력할 때는 자물쇠 아이콘 또는 주소 표시줄의 "HTTPS"를 찾아 해당 웹 사이트가 SSL(Secure Sockets Layer) 인증서로 암호화되었는지 확인하십시오. 웹 사이트에서 중요 정보를 전송하기 전에 의심스러운 작동이 있으면 신고하십시오.
- 노턴 시큐리티와 같은 종합적인 보안 소프트웨어를 사용하여 사이버 범죄로부터 스스로를 보호하십시오.
- 이메일을 통해 받았거나 소셜 네트워크에 게시된 그럴듯한 링크를 누르기 전에 각별히 주의하십시오. 너무 좋아 진짜라는 게 믿어지지 않는다면 십중팔구 가짜입니다.
추가 정보:
시만텍 백서: 랜섬웨어의 진화
블로그: 피싱 경제: 원활한 사기 행각을 도와주는 피싱 킷
{편집자 주: 이 기사는 2014년 12월 10일에 처음 게시된 글을 새로운 조사 결과로 업데이트한 버전입니다.}