카스퍼스키랩이 지난 6월 초 사법기관과 공조 수사를 벌인 끝에 사이버범죄조직 ‘러크(Lurk)’의 조직원을 다수 검거했다고 밝혔다.
이번 검거 작전은 최근 몇 년 간 진행된 사이버 범죄 수사 중 최대 규모로 진행됐다. 붙잡힌 러크 조직원들은 러시아 기업 및 은행에서 4500만달러 이상을 훔친 혐의를 받고 있는 이들이다.
회사 측은 이번 사건과 관련해 러크 조직에서 관여한 사이버 범죄의 일부에 지나지 않으며, 러크의 악성 코드에 숨겨진 IT 인프라를 분석한 결과 코드 운영자들이 익스플로잇 키트를 개발해 다른 사이버 범죄자들에게도 대여한 것으로 드러났다고 밝혔다.
이 앵글러(Angler) 익스플로잇 키트는 악성 프로그램의 집합으로, 널리 사용되는 소프트웨어의 취약점을 파고 들어 PC에 악성 코드를 몰래 설치한다. 지난 수년간 지하 시장에서 해커들에게 제공된 가장 강력한 도구 중 하나다.
온라인에서 가장 발생 빈도가 높고 가장 위험한 랜섬웨어 위협 중 하나인 크립트XXX(CryptXXX) 랜섬웨어와 테슬라크립트(TeslaCrypt) 등의 배후에 있는 집단도 앵글러 익스플로잇 키트를 적극 활용한 바 있다.
또 이 익스플로잇 키트는 거의 100개에 달하는 다양한 은행을 공격하도록 설계된 네버퀘스트(Neverquest) 뱅킹 트로이목마를 유포하는 데도 사용됐다. 앵글러의 활동은 러크 조직이 구속된 후 바로 중단된 것으로 알려졌다.
카스퍼스키랩 보안 전문가들이 조사한 바에 따르면 앵글러 익스플로잇 키트는 처음 러크 내부 전용으로 개발된 것이다. 뱅킹 악성 코드를 목표 PC에 좀 더 용이하게 유포할 수 있도록 안정적이고 효율적인 전달 채널을 제공하는 것이 본 목적이었다.
이창훈 카스퍼스키랩코리아 지사장은 “러크 조직이 앵글러를 공개한 이유는 현금 조달을 위해 어쩔 수 없이 내린 결정이었던 것으로 추측된다”며 “앵글러를 공개했던 당시 러크 조직은 원격 뱅킹 시스템 소프트웨어 개발 업체의 보안 조치로 인해 주요 수입원인 사이버 절도 수익이 감소하고 있었다”고 전했다.
이어 “이 때문에 범죄 활동 자체가 어려워진 반면 여전히 보유하고 있는 네트워크 인프라 및 조직원의 규모가 컸기 때문에 이를 유지하기 위한 비용이 지속적으로 필요한 상황이었고, 이에 그들은 비즈니스를 확장하기로 결정했고 실제로 성과도 있었던 것으로 밝혀졌다”며 “러크의 뱅킹 트로이목마와 앵글러가 다른 점은 전자가 러시아 지역만 위협한 반면 후자는 전 세계 사용자를 표적으로 한 여러 공격에 이용됐다는 점”이라고 말했다.
한편 카스퍼스키랩에 따르면 러크의 부수입 창출원은 앵글러 익스플로잇 키트의 개발과 지원뿐만이 아니다. 원격 뱅킹 서비스 소프트웨어를 통해 자동으로 돈을 탈취하는 강력한 악성 코드 개발에 집중했던 러크 조직은 5년이 넘는 시간 동안 조직의 비즈니스 방향을 수정해 은행 내부 인프라를 잘 아는 전문가를 해킹하고 SIM 카드를 바꿔치기하는 정교한 공격 체계 개발에도 손을 뻗은 것으로 드러났다.
