온라인 사기에 면역력을 갖춘 이는 없을 것이다. 심지어 온라인 사기꾼도 예외는 아닐 것이다. 새로운 연구 분석 결과로 공개된 바와 같이 해킹 포럼을 이용해 소프트웨어 악용 프로그램과 탈취한 로그인 상세 정보를 구매하려는 사이버 범죄 세력이 다른 사기꾼의 사기 범죄로 피해를 본다. 그리고 한 번에 수천 달러에 이르는 금액을 잃는다. 게다가 사이버 범죄 세력이 사기 피해를 봤다는 불만을 늘어놓을 때, 경찰과 수사 기관이 실제 정체성을 확인하게 될 만한 사소한 개인 정보를 남기게 될 수도 있다는 사실도 새로이 드러났다.
해커와 사이버 범죄 세력은 종종 특정 온라인 포럼과 온라인 장터에서 거래한다. 서로 앞으로의 범죄 계획 조언을 주고받기도 하고 탈취한 비밀번호와 신용카드 상세 정보 데이터베이스를 판매한다. 혹은 피해자의 기기나 시스템에 침입할 때 이용할 수 있는 새로운 보안 취약점을 홍보하기도 한다. 그러나 종종 사이버 공격과 관련된 각종 거래가 계획대로 이루어지지는 않는다.
사이버 보안 기업 소포스(Sophos)가 12월 7일(현지 시각) 공개한 신규 연구 보고서는 사이버 범죄 거래 실패 사례와 사이버 범죄 포럼 사용자의 사기 피해 불만 사항을 조사했다. 사이버 범죄 세력 전용 온라인 장터를 연구한 소포스 X-Ops 연구원 매트 윅시(Matt Wixey)는 “사이버 범죄 포럼과 온라인 장터에서 다른 온라인 사기꾼을 상대로 사기 범죄를 저지르는 사기꾼이 처음 예상한 것보다 더 많다는 사실을 확인했다”라고 말했다.
윅시 연구원은 가장 유명한 사이버 범죄 포럼으로 러시아어 온라인 포럼인 익스플로잇(Exploit)과 XSS, 미국 법률 집행 기관의 압수 이후 레이드포럼스(RaidForums)로 이름이 바뀐 영어 온라인 포럼인 브리치포럼스(BreachForums)까지 3곳의 사례를 조사했다. 세 곳 모두 운영 방식이 조금씩 다르지만, 모두 다른 사이버 범죄 세력에게서 사기 피해를 의심하거나 문제를 겪게 되었다고 생각하는 이들이 불만을 토로하는 임의의 방을 두고 있다. 예를 들어, 다른 사이버 범죄자에게서 구매한 멀웨어가 제대로 실행되지 않는다면, 해당 멀웨어를 구매한 포럼 관리자에게 사기 피해를 하소연한다.
온라인 사기 피해 불만을 토로하는 게시글은 피해 금액을 돌려받는 결과로 이어지기도 한다. 그러나 대다수 게시글은 다른 사이버 범죄 포럼 사용자에게 경고하는 역할을 한다. 윅시 연구원이 조사한 지난 1년간 사이버 범죄 포럼과 온라인 장터에서 발생한 사기 사례를 종합한 결과, 다른 온라인 사기꾼의 사기에 속아 잃은 금액은 250만 달러 이상으로 집계됐다. 2022년 12월 5일부터 8일까지 진행된 블랙햇 유럽(BlackHat Europe) 보안 콘퍼런스에서 발표된 바와 같이 온라인 사기 피해를 호소하는 이들의 피해 금액은 적게는 2달러이며, 중간 피해 금액은 200~600달러에 이른다.
다른 온라인 사기꾼을 겨냥한 사기 행위는 다양한 형태로 발생한다. 간단한 사기 수법도 있지만, 교묘한 사기 수법도 있다. 윅시 연구원은 종종 악성 소프트웨어나 탈취한 개인 정보 구매자가 판매자에게 구매 금액을 지급하지 않거나 판매자가 판매를 약속한 악성 소프트웨어를 제공하지 않는 등 금전 갈취 후 종적을 감추는 사기 행위가 흔하다고 설명했다. (금전이나 악성 소프트웨어를 손에 넣고 연락을 두절하는 사기꾼 세력을 ‘갈취꾼’이라고 칭한다.) 또 다른 사기 수법으로는 아무 효과가 없는 가짜 데이터나 보안 악용 프로그램을 동원한 사기이다. 실제로 브리치포럼스에서 어느 한 온라인 사기꾼은 판매자가 이미 널리 공개된 페이스북 데이터 판매를 시도했다고 주장했다.
익스플로잇에 게재된 극단적인 피해 호소 사례에서 온라인 사기꾼이 윈도 커널 악용 소프트웨어 제공을 약속했으나 구매자가 약속과 달리 13만 달러를 지급하지 않았다고 분통을 터뜨렸다. 구매자는 소프트웨어 테스트 후 비용을 입금하겠다는 말을 남겼으나 이후 구매 비용을 단 한 푼도 지급하지 않았다. 해당 게시글의 번역을 보면, 피해를 호소한 게시글 작성자는 “구매자는 매번 프로그램 사용 단계마다 입금이 늦어지는 이유로 다른 변명을 했다”라고 작성했다.
간혹 여러 계정이나 인물이 사기에 가담한 사례도 있다. 사이버 범죄 세계에서 명성이 높은 어느 한 사이버 범죄자가 다른 이를 소개한다. 사기 공범은 피해자가 사기 웹사이트에 접속하도록 지시한다. 윅시 연구원은 온라인 사기 피해자가 NFT에 초점을 맞춘 게임인 엑시인피니티(Axie Infinity)의 가짜 복제판을 구매하려 한 사레를 언급했다. 윅시 연구원은 “피해자는 기본적으로 실제 합법적인 사용자의 자금을 유용할 의도로 가짜 복제판을 구매하려 했다. 다른 온라인 사기꾼에게서 엑시인피니티 가짜 복제판을 구매했다. 판매자는 해당 복제판에 백도어를 설치해, 구매자가 탈취한 암호화폐를 판매자가 다시 탈취하였다”라고 설명했다.
[사진=Unsplash]
사이버 범죄 세력이 서로 사기 범죄를 저지르려는 일은 그리 놀라운 사실이 아니다. 사이버 범죄 세력 사이에서 서로 존중하는 일은 없기 때문이다. 윅시 연구원의 연구는 사이버 범죄 세력 간 사기 행위가 만연하다는 사실을 드러낸다. 이와 비슷하게 소포스는 2021년 발생한 사례 중 일부 사이버 범죄 포럼 관리자가 사용자를 상대로 사기 범죄를 저지른 사례를 발견했다. 위협 정보 기업 Analyst1은 지난 10년간 해당 포럼에는 서로 사기 행위를 펼친 것에 불만을 토로하는 글이 수천 건 게재되었다고 발표했다. 반면, 다른 보안 기업인 트렌드마이크로(TrendMicro)는 사이버 범죄 포럼과 온라인 장터에는 자체 규정이 있지만, 사기 행위를 막는 데 도움이 되지는 않는다는 결론을 내렸다. 트렌드마이크로는 2019년도 연구 보고서에 “사기꾼은 일반적으로 명성을 이용해 재빨리 금전적 이익을 취한다”라고 작성했다.
논란의 여지는 있지만, 윅시 연구원이 발견한 가장 조직화된 사기 행위는 2017년에 온라인에 등장한 뒤 호텔 웹사이트 로그인 상세 정보와 쿠키, 보안 침입이 발생한 시스템의 데이터 접근성 등을 판매한 제네시스(Genesis) 조사에서 비롯되었다. 소포스 연구팀은 제네시스를 조사하면서 구글 검색 결과 상단에 등장하는 제네시스의 가짜 웹사이트를 발견했다. 윅시 연구원은 “매우 혼란스러운 사례이다. 가짜 제네시스 웹사이트는 매우 기본적인 수준의 워드프레스 템플릿으로 생성돼, 금전을 요구한다. 반면, 진짜 제네시스는 초대를 받아야만 가입할 수 있다”라고 전했다.
가짜 제네시스 웹사이트에서 공식 제네시스 마켓 이외에도 다른 이상한 행동을 확인할 수 있었다. 가짜 제네시스 웹사이트는 다른 사이버 범죄 웹사이트로 접속할 링크를 추가했으며, 누군가가 웹사이트에서 복사, 붙이기 버튼을 누를 때마다 사용자가 결제할 수 있는 비트코인 주소가 바뀌었다. 또, 온라인 포럼인 레딧(Reddit)에도 광고를 게재했다. 윅시 연구원은 가짜 제네시스 웹사이트는 복수의 사이버 범죄 세력이 공동으로 사기 범죄를 저지를 때 동원될 수 있다고 암시했다. 소포스 연구팀은 텍스트 영역과 암호화폐 주소 등 가짜 제네시스 웹사이트의 특성을 자세히 파악한 뒤 가짜 제네시스 웹사이트와 연결돼, 같은 사이버 범죄 조직이나 사기꾼이 단독으로 운영하는 것으로 드러난 웹사이트 20개를 발견했다. 20개 웹사이트 모두 똑같아 보이며, 2021년 8월부터 2022년 6월 사이에 등록됐다. 현재 20개 웹사이트 중 8곳은 지금도 정상적으로 접속할 수 있는 상태이다.
윅시 연구원은 가짜 제네시스 웹사이트와 연결된 웹사이트 대부분 이제는 제 기능을 하지 않는 사이버 범죄 세력의 온라인 장터를 모방하고 더 많은 피해자의 접근을 위해 비용을 결제하도록 시도한다. 사기 행위 자체도 실제로 성공하는 것으로 나타났다. 소포스 연구팀은 사기 웹사이트의 여러 비트코인 주소에 입금된 금액은 총 13만 2,000달러에 이른다고 추산했다. 다만, 윅시 연구원은 모든 금액이 가짜 웹사이트를 통해 입금되었다고 확신하기는 어렵다고 언급했다. 소포스는 가짜 웹사이트 운영의 배후에 있는 ‘월트크랜스톤(waltcranston)’이라는 사용자 이름으로 알려진 사기꾼을 발견했다. 가짜 웹사이트 관리와 관련된 여러 정보 중 누군가가 월트크랜스톤이 다른 포럼에서 가짜 온라인 장터 웹사이트를 개발했다고 주장한 글을 확인할 수 있었다.
월트크랜스톤이 가짜 웹사이트 개설 작업에 100% 관여했는지는 확인할 수 없다. 다만, 윅시는 월트크랜스톤이 온라인 사기 피해 사실에 불만을 늘어놓는 글을 올렸다는 사실을 확인했다. 또, 중재를 통한 사기 피해 해결은 수사 기관이 추후 활용할 수 있는 풍부한 정보 원천이 될 수 있다고 덧붙였다.
온라인 사기 피해 불만을 늘어놓는 게시글 대부분 주장을 뒷받침할 근거를 함께 게재해야 한다. 따라서 온라인 사기 피해 불만 게시글을 올리는 이가 의도한 것보다 개인 정보를 더 많이 포함한 스크린샷을 공유하게 될 수도 있다. 소포스는 온라인 사기 피해 불만을 늘어놓는 게시글을 통해 암호화폐 주소와 거래 ID, 이메일 주소, 피해자 이름, 일부 멀웨어 소스 코드 등을 포함하여 각종 데이터를 발견했다. 모두 사이버 범죄 포럼의 특정 사용자 이름으로 활동하는 이들의 실제 정체를 찾을 만한 정보를 추가로 발견하는 데 도움이 되거나 사이버 범죄 세력의 사기 방식을 파악할 단서를 제공할 수도 있다.
다른 사이버 범죄자의 사기에 관한 불만을 게재한 어느 한 게시글은 타인의 텔레그램 사용자 명칭과 이메일 주소, 재버(Jabber), 스카이프, 디스코드 채팅 사용자 이름을 포함한 스크린샷을 함께 게재했다. 다른 게시글 중에는 IP 주소와 사용자의 위치로 추정되는 국가 정보가 포함된 스크린샷을 올린 글도 있다. 스크린샷은 사용 중인 소프트웨어 정보는 물론이고, 게시글 작성자가 방문한 웹사이트와 개인 컴퓨터 설치 상세 정보까지 담는다. 윅시 연구원은 가끔 사이버 범죄자가 공격 대상으로 삼은 피해자 상세 정보를 포함한 스크린샷도 발견했다.
사이버 범죄 행위의 본질적인 특성을 고려하면, 사이버 범죄 세력은 보통 개인 신원이 드러날 만한 정보 공개에는 매우 신중한 태도를 보인다. 사이버 범죄자는 실명을 사용하지 않는다. 또, 토르(Tor)와 같이 익명 서비스를 사용한다. 윅시 연구원은 “사이버 범죄 세력은 보통 뛰어난 운영 보안 전략을 펼친다. 그러나 다른 사이버 범죄자가 개시한 사기 피해 사실을 알릴 때는 개인 정보를 철저하게 숨기지 않는다. 사기 피해를 알리는 게시글 상당수는 사이버 범죄 세력의 온라인 장터 이외에 다른 곳에서 볼 수 없기 때문이다”라고 말했다. 더 나아가 사이버 범죄 포럼과 온라인 장터의 사기 피해 게시글로 드러난 데이터는 일부 범죄 세력을 추적할 유용한 수단이 될 수 있다. 윅시 연구원은 “사이버 범죄자의 사기 피해 불만 게시글이 사이버 범죄 수사의 시작점이 될 수 있다는 점이 분명하다”라고 말했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202212/4397_5804_925.jpg)
뉴스레터 신청