전 세계 정부와 테크 업계는 지난 몇 년간 급증한 온라인 스캠, 사이버 범죄 억제에 서둘러 나섰다. 그러나 디지털 방어와 법률 집행, 사이버 공격 무력화 작업이 진전을 거둔 상황에서도 랜섬웨어 공격과 비즈니스 이메일 보안 침해, 멀웨어 감염 피해 사례는 계속 보고되고 있다. 마이크로소프트 디지털 범죄 부서(DCU)는 지난 10년간 기술적, 법적 자체 전략을 생성하여 스캠을 조사하고는 범죄 기반 시설을 무력화하면서 악성 트래픽을 차단하였다.
물론, 디지털 범죄 부서는 윈도 운영체제에서 도달할 수 있는 인터넷 전체 영역의 광범위한 규모와 눈에 보이는 곳에서 사이버 공격 대응 및 예방 전략을 펼쳤다. 그러나 디지털 범죄 부서는 와이어드와의 인터뷰에서 포괄적인 정책 안건이나 기업 의무 사항이 아닌 사이버 공격 피해자 보호라는 개인적 목표가 사이버 범죄 방어 노력의 동기가 되었다고 밝혔다.
2023년 12월 13일(현지 시각), 디지털 범죄 부서는 마이크로소프트 내부에서 스톰-1152(Storm-1152)라고 지칭하는 사이버 범죄 조직의 활동을 무력화할 노력을 공식 발표했다. 범죄 생태계의 중간 개입자 역할을 하는 스톰-1152는 신원 인증 우회 메커니즘과 같은 소프트웨어 서비스, 툴 등을 다른 사이버 범죄 조직에 판매했다. 스톰-1152는 마이크로소프트 가짜 계정 최고 생성자이자 공급사가 되었다. 스톰-1152는 수백만 달러에 판매한 스캠 계정 약 7억 5,000만 개를 생성했다.
디지털 범죄 부서는 여러 해에 걸쳐 스톰-1152에 맞설 지식 재산권 보호와 관련하여 생성한 법적 방식을 활용했다. 2023년 12월 7일(현지 시각), 뉴욕 남부 지방법원은 스톰-1152의 미국 내 디지털 인프라 압수, 1stCAPTCHA, AnyCAPTCHA, NoneCAPTCHA 등 서비스 무력화, 가짜 아웃룩 계정 판매 웹사이트 Hotmailbox.me를 압수하기 위한 명령을 내렸다.
디지털 범죄 부서의 전략은 부서의 사이버 범죄 대응 전략 진화 과정을 반영한다. 디지털 범죄 부서라는 단체는 2008년, 마이크로소프트에 설립되었다. 그러나 옛 디지털 범죄 부서가 마이크로소프트의 ‘지식재산권 범죄 부서(Intellectual Property Crimes Unit)’인 마이크로소프트 부서와 통합한 2013년에 현재와 같은 형태를 갖추게 되었다.
[사진=Freepik]
디지털 범죄 부서 수석 조사관 피터 아나만(Peter Anaman)은 “사이버 범죄 상황이 훨씬 더 복잡해졌다. 이전에는 협력자 1~2명만 찾으면 됐다. 이제는 사이버 공격을 조사하면서 공격 과정 전반에 걸쳐 여러 조직이 가담한 것을 확인할 수 있다. 그러나 사이버 범죄를 분석하고, 더 큰 타격을 줄 수 있는 다양한 단계를 파악할 수 있다”라고 말했다.
디지털 범죄 부서의 사이버 범죄를 서서히 무력화할 기술, 법적 접근 방식을 함께 택한 방식은 여전히 이례적인 방식이다. 하지만 사이버 범죄 생태계가 국가 주도 해킹 작전 중복과 함께 진화하면서 사이버 공간의 창의적 법적 전략 채택이 갈수록 주류가 되었다. 지난 몇 년간 메타의 왓츠앱과 애플 모두 악명 높은 스파이웨어 개발사인 NSO 그룹과의 소송을 진행 중이다.
그러나 디지털 범죄 부서의 사이버 범죄 대응 전략 변화는 소비자 인터넷이 급부상한 시기의 마이크로소프트의 독특한 장악력의 결과이다. 디지털 범죄 부서의 임무에 집중하는 동시에 2000년대 말과 2010년대 초반의 위협을 다루면서 디지털 범죄 부서의 새로우면서도 공격적인 접근 방식은 부서의 몰락과 합법적 기업, 웹사이트에 미칠 수도 있는 영향과 관련하여 비판을 받았다.
2014년 10월, 와이어드는 마이크로소프트 디지털 범죄 부서 소식을 보도한 기사를 통해 “마이크로소프트 디지털 범죄 부서처럼 사기꾼을 대상으로 직접 대응에 나서는 기업은 없다. 복수 관측통은 마이크로소프트의 전략이 효과적이면서도 다소 우려를 자극한다고 평가했다”라고 작성했다.
플로리다주 남부 지방법원 검찰 차관 출신인 디지털 범죄 부서 총괄 자문 부책임자 리차드 보스코비치(Richard Boscovich)는 2014년, 와이어드와의 인터뷰에서 마이크로소프트 관계자가 콘플리커(Conficker)와 같은 멀웨어가 웹에서 기승을 부리는 상황에 화가 났다고 전했다. 또, 마이크로소프트는 자사 제품의 사이버 방어 수준을 개선할 수 있다고 느끼지만, 사이버 범죄 배후 세력에 맞설 직접적인 전략을 전혀 하지 않는다고 덧붙였다. 사이버 방어 개선 필요성과 실질적으로 택하는 대응 부재라는 딜레마는 디지털 범죄 부서의 혁신과 사이버 범죄 조직에 직접 맞선 전략을 이어가도록 촉진했다.
디지털 범죄 부서 분석 책임자 조 크룸(Zoe Krumm)은 “사용자에게 영향을 미치는 요소는 무엇인가? 바로 마이크로소프트 디지털 범죄 부서가 다루어야 할 부분이자 변화와 새로운 범죄 유형에 대응할 방어 전략을 개발하는 부분이다”라고 말했다. 크룸은 2000년대 중반, 마이크로소프트 사장 브래드 스미스(Brad Smith)가 당시 마이크로소프트 팀이 이메일 스팸 위협으로 집중 대상을 전환하도록 이끌었다고 말했다.
크룸은 “디지털 범죄 부서는 항상 어딘가 미숙한 조직이었다. 갑자기 스팸 공격에 맞설 노력이 필요하다는 지시를 받았던 것을 기억한다. 그러나 브래드 스미스가 디지털 범죄 부서로 오면서 함께 사이버 공격 대응 전략을 세우도록 이끌었다. 당시 단순히 특정 유형의 공격에만 초점을 맞추라는 지시를 받지 않았던 것을 기억한다. 이후 멀웨어, 기술 지원 사기, 온라인 아동 착취, 비즈니스 이메일 공격 등 사이버 범죄 유형이 무엇이든 부서 전체가 사이버 범죄 대응 전략을 세우기 위해 머리를 맞대는 상황이 계속되었다”라고 설명했다.
보스코비치는 디지털 범죄 부서가 완성도를 갖추고, 모든 영역에서 확장하면서 법적 책임과 위험성 노출을 항상 생각하는 것이 하루아침에 작업을 유지한 새로운 요소가 되었다고 말한다.
보스코비치는 “고객의 사이버 방어를 돕고자 하면, 모든 부분에서 도움을 주고자 한다. 그러나 간혹 사이버 범죄 세력의 처벌로 이어지지는 않는 수준으로 도움이 끝나는 때가 있다. 간혹 누군가를 도우려 하고, 컴퓨터를 종료하도록 지원한다. 그리고 도움을 주려 해도 도움이 필요했던 영세기업이 폐업한 사례도 있다. 그렇다면, 문제를 어떻게 관리해야 할까? 사이버 방어 작업 중 가장 어려운 부분이었다. 법적 창의성은 멋지지만, 실제로 받아들일 수 있는 위험성을 확인하고 의도하지 않은 피해가 없도록 모든 것을 연구할 방법은 무엇인가?”라고 말했다.
디지털 범죄 부서가 집중적으로 개발하고자 하는 사항은 디지털 위협의 진화와 함께 발전했다. 2016년, 디지털 범죄 부서는 국가 주도 해킹 관련 피해를 지원할 대법원의 특수 전문가 확립 접근 방식을 택했다. 판사가 임명한 관료는 현재 진행 중인 사건에 직접 연락할 지점이 되었으며, 작업 공식 종료 후에도 몇 년간 활동을 유지했다. 이 덕분에 디지털 범죄 부서는 새로운 법원 명령 신청서를 제출하지 않더라도 인프라 차단과 기타 법적 대응을 위한 법원의 승인을 받을 수 있었다.
보스코비치는 “디지털 범죄 부서는 위협을 최우선 순위로 두고, 몇 분 만에 법원 명령을 받았다. 사이버 공간의 속도에 따라 법적 책임을 다루는 과정의 속도를 높였다”라고 전했다.
지난 몇 년간 사이버 범죄 생태계가 전문화된 점을 고려하면, 사이버 범죄 세력의 위협에 맞선 행동이 어렵다는 점도 지적했다. 현재 범죄 조직은 범죄 개시 과정의 다양한 측면을 담당하는 여러 부서와 협력하면서 조직 내부에서 개발하지 않은 서비스를 위해 외부 단체와 공급 계약을 체결하기도 한다.
보스코비치는 “한 가지 범죄나 기소 사건을 위해 별도의 행동을 개시하는 여러 단체는 어떻게 다루어야 하는가? 간혹 같은 범죄를 위해 협력하는 여러 조직의 구성원이 서로 존재를 알지 못하는 때도 많다”라고 말했다. 이에 맞서 디지털 범죄 부서는 개인의 범죄 행위가 아닌 범죄 조직의 행동에 초점을 맞추도록 마련된 미국 부패 및 조직범죄처벌법(RICO)에 따라 법적 전략을 두고 작업하는 단체와 협력한다.
보스코비치는 “사이버 범죄 조직에는 멀웨어 개발자, 멀웨어 브로커, 멀웨어 공격 개시 세력 등 여러 세력이 포함되었다. 따라서 범죄 조직의 여러 구성원을 한 사건으로 한 번에 기소하여 함께 처벌할 수 있다. 이제는 사이버 범죄 조직의 활동에 가담한 이들을 동시에 기소하는 것이 디지털 범죄 부서의 법률 계획에 포함되었다”라고 전했다.
사이버 범죄 조직과 국가 산하 해커 조직이 날이 갈수록 강화되는 가운데, 디지털 범죄 단체는 법률 집행 기관과의 협력을 확장하고, 변화하는 글로벌 위기 속에서 디지털 방어 방식을 활용했다. 예를 들어, 2016년, 디지털 범죄 조직은 국가 산하 해커 세력의 공격 무력화 작업을 시작하면서 팬시베어(Fancy Bear)라는 이름으로도 알려진 러시아 산하 해커 조직인 APT28의 공격에 맞섰다. APT28은 악명 높은 피싱 공격과 미국 대통령 선거 관련 거짓 정보 작전에 마이크로소프트 서비스처럼 보이는 도메인을 이용했다. 2018년, 디지털 범죄 부서는 미국, 캐나다, 네덜란드, 호주 스캠 피해를 일으킨 인도 내 범죄 조직 콜센터 10곳의 정보를 발견한 뒤 델리 경찰과 공유했다. 정보 공유 결과로 63명을 체포했다. 2020년, 디지털 범죄 부서는 코로나19 관련 사이버 범죄에 이용된 도메인을 압수하고, 2020년 미국 대통령 선거에 앞서 악명 높은 트릭봇(Trickbot) 랜섬웨어 조직의 공격 무력화에 나섰다.
디지털 범죄 부서 감독을 담당한 마이크로소프트 총괄 책임자 겸 사이버 보안 정책 및 보호 총괄 자문 위원 에이미 호건 버니(Amy Hogan-Burney)는 “피해자 보호 측면에서 디지털 방어를 생각한다. 일반적으로 각국 정부를 위해 사이버 범죄 무력화 작전을 펼치지만, 항상 피해자 보호에 주력하기도 한다. 마이크로소프트의 디지털 방어 작업 범위가 좁아질 수 있다. 마이크로소프트 고객이나 마이크로소프트 고객 유형 혹은 매우 광범위한 영역에서는 사이버 범죄 피해를 볼 수 있는 모든 인터넷 사용자를 위해 작업한다는 의미이다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202312/5233_6779_3638.jpg)
뉴스레터 신청