역대 최대의 글로벌 ‘멀웨어’ 소탕작전 진행 중
인터폴, 美․EU 등 서방세계 주도, 검거와 차단, 추적 등
전 세계 악성 코드 유포 ‘드롭퍼’, ‘로더’들 주요 타깃
[애플경제 이윤순 기자] 최근 인터폴과 EU가 중심이 된 역대 최대 규모의 글로벌 ‘멀웨어’ 소탕작전이 펼쳐지고 있다. ‘엔드게임 작전’(Operation Endgame)이라고 명명된 이 프로젝트는 해킹 봇넷, 맬웨어 유포자들과 해커들을 일망타진하기 위한 전세계적인 단속 및 검거작전이다. 악성 코드를 유포하는 이른바 ‘드롭퍼’와 ‘로더’들이 주요 타깃이며, 이들을 제거함으로써 대규모 악성 코드 배포를 근절시키기 위한 것이다.
이미 작전이 시작된지 사흘 만인 지난 달 29일까지 인터폴은 4명을 체포하고 100개 이상의 서버를 압수했으며 2,000개 이상의 도메인을 단속했다. 우크라이나와 아르메니아에서 이들에 대한 체포가 이루어졌으며 불가리아, 캐나다, 독일, 리투아니아, 네덜란드, 루마니아, 스위스, 영국, 미국 및 우크라이나에서는 악성 서버를 단속, 차단하기도 했다.
주도자 체포, 100개 서버 압수, 도메인 2천개 단속
이번 작전은 특히 프랑스, 독일, 네덜란드의 사법당국이 주도했다. 또 덴마크, 영국, 미국의 사법당국, 그리고 특히 유럽연합(EU)의 사법기관인 유로저스트(Eurojust)가 적극 지원에 나섰다. 사실상 서방 세계 전체가 사이버 범죄자들과의 ‘세계 대전’을 시작한 것이다.
이같은 범지구적인 사이버 범죄와의 전쟁은 날이 갈수록 해커들이 기승을 떨고, 특히 올들어 더욱 그 빈도가 잦고 수법이 악랄해지고 있다는 판단에서다. 해커들은 사기 이메일이나, 웹사이트, 악성 코드 다운로드 유도 등을 통해 공격을 일삼고 있다.
이들 드로퍼와 로더는 피해자가 사기 이메일 첨부 파일을 클릭하거나, 해킹된 웹 사이트로 유도한 후 소프트웨어를 다운로드하도록 함으로써 은밀히 악성 코드를 유포한다. 특히 해킹 시장인 ‘서비스형 악성 코드(Malware-as-a-Service)’ 산업은 악성 코드를 배포하는 도구를 활발히 거래하며 날로 규모가 커지고 있다. 각국의 치안당국은 이에 “이러한 해킹 봇넷을 동시에 제거하고, 사이버 범죄자가 사용하는 인프라를 조종하는 주모자들이나 해당 인프라를 타깃으로 삼고 있다”고 소개했다.
사이버범죄 끝장낼 각오? ‘엔드게임 작전’
이번 ‘엔드게임 작전’이 특히 단속 대상으로 꼽고 있는 악성코드 유포자나 로더는 범블비(Bumblebee), ’IcedID‘, 스모크로더(Smokeloader), 트릭봇(Trickbot) 등이 대표적이다. 인터폴은 ‘엔드게임 작전’ 홈페이지에 “피해자 중 상당수가 자신의 시스템이 감염되었다는 사실을 인지하지 못한 경우가 많다”고 밝혔다. 인터폴은 또 “이러한 범죄자들이 기업과 정부 기관에 입힌 재정적 손실은 수억 유로에 달할 것”이라고 덧붙였다. 1유로의 가치는 미화 1.08달러 가량이다.
인터폴에 따르면 한 용의자는 랜섬웨어 배포 사이트를 임대해 무려 6900만 유로의 암호화폐를 벌어들였다고 한다. ‘엔드게임 작전’은 현재 진행 중이며, 단속 과정에서 8명이 수배자로 지명되어 지난달 30일 유럽 지명 수배자 목록에 추가되었다.
크리스토퍼 레이 미 FBI 국장은 보도자료를 통해 “국경 없는 사이버 범죄와의 싸움은 여기서 끝나지 않는다”며 “FBI는 끊임없이 진화하는 이 위협에 맞서기 위해 최선을 다하고 있다”고 말했다.
인퍼폴 등 ‘공격 방어 전략’ 홍보도 병행
인터폴은 ‘엔드게임 작전’과 함께 악성코드로를 예방하고 방어하는 방법도 홍보하고 있다. 이에 따르면 공격자가 배포한 악성 코드의 대부분은 이메일 첨부 파일, 손상된 웹 사이트 또는 합법적인 소프트웨어의 무료 다운로드와 함께 번들로 제공되는 경우가 대부분이다. 기업의 경우 이번 단속 작전을 계기로 직원들에게 무료 소프트웨어 광고나, 의심스러운 계정의 이메일 첨부 파일을 특히 주의하도록 상기시키는 기회로 삼을 것을 당부했다. 또한 기업들에게 “직원들이 사이버 보안 모범 사례와 피싱 징후를 발견하는 법을 상기시켜야 한다”고 강조했다.
인터폴에 의하면 또 교란작전을 펴는 여러 해킹 봇넷들은 특히 자동으로 ‘스레드 하이재킹’이 작동되어 스크랩하고 조작한다. 그런 다음 이미 대화 스레드에 참여했을 수도 있는 계정으로 다시 전송된 합법적인 이메일 스레드에 콘텐츠를 주입하는 수법을 쓴다. 글로벌 보안업체 프룹포인트는 “이는 주로 회사 내의 다른 계정”이라고 기업들의 각별한 사이버 보안책을 주지시켰다. 프룹포인트는 이번 ‘엔드게임 작전’에도 적극 참여한 것으로 알려졌다.
프룹포인트는 “핵심적인 사실은 합법적인 대화 스레드에 무작위로 삽입된 첨부 파일을 본질적으로 신뢰할 수 없다는 점”이라며 “대신에 가능하다면 특히 파일 공유 호스트에 대한 파일 전송이나, URL 공유가 의도적이고 예상된 것인지 동료에게 직접 확인할 필요가 있다”고 주의를 당부했다.