파이어아이가 POS시스템을 감염시켜 결제 카드 정보를 탈취하는 사이버 범죄자 그룹 ‘벤데타 브라더스(Vendetta Brothers)’의 사이버 범죄 활동을 낱낱이 파헤친 보고서를 발표했다.
해당 조직은 다른 사이버 범죄 조직과 협업해 조직화된 방법으로 피해자의 카드 정보를 탈취하며, 벤데타 월드(Vendetta World)라는 자체 온라인 몰을 통해서 한국을 포함한 전세계 41개국에서 탈취한 정보를 판매하고 있는 것으로 알려졌다.
벤데타 브라더스는 주로 미국 및 북유럽 국가들을 타깃으로 하고 있으며 스페인 혹은 동유럽을 기반으로 하고 있는 것으로 추정된다. 해당 조직으로부터 가장 많이 공격 받은 상위 5개 국가는 미국, 스웨덴, 노르웨이, 핀란드, 덴마크로 조사됐으며, 탈취된 카드 정보가 가장 많은 나라순이다. 탈취된 카드 중에서는 국내 카드 정보도 일부 탈취돼 거래된 것으로 조사됐다.
벤데타 브라더스는 탈취한 카드 정보를 판매하기 위해 자체적으로 운영하는 온라인 암시장 ‘벤데타 월드’를 운영하는데, 2016년 초반 기준으로 해당 온라인몰에는 전세계 41개국 639개 은행의 9400개 가량의 카드 정보가 매물로 나왔다. 벤데타 월드에서는 방문자들이 은행 혹은 지역 별로 결제 카드 정보 매물을 검색할 수 있도록 하는 검색 서비스를 제공하고 있다.
이 사이버 범죄조직의 탈취 정보 거래 규모는 파이어아이에서 추적중인 다른 사이버 범죄 그룹에 비해 상대적으로 적지만 조직화된 방법으로 사이버 범죄 활동을 수행하고 있다는 점에서 주목할만 하다.
벤데타 브라더스는 다른 사이버 범죄 조직과의 협업을 통해 시스템 감염 과정을 효율적으로 분담하는 한편 보안성을 강화하고 있다. 일반적인 기업들과 마찬가지로 이 사이버 범죄 조직 역시 마진이 적은 비즈니스는 아웃소싱을 주는데, 주로 POS 터미널에 접근 권한은 있지만 시스템을 감염시킬 악성코드를 보유하지 못하거나 유포할 기술이 부족한 사이버 범죄자들과 협업한다.
이 같은 협업을 통해 벤데타 브라더스는 악성코드를 유포하고 수익을 창출하는 과정에 보다 초점을 맞추는 동시에 보다 다양한 결제 시스템에 접근해 수익률을 높이며 파트너와 사이버 범죄 프로세스를 분담함으로써 경찰 조사를 일부 회피할 수 있어 보안성을 강화한다고 파이어아이 측은 설명했다.
전수홍 파이어아이코리아 지사장은 “벤데타 브라더스의 사이버 범죄 활동에서 주목할 만한 점은 사이버 범죄 조직이 마치 일반 기업이 비즈니스를 운영하는 것과 같이 수익은 극대화하고 리스크는 최소화하는 조직화된 방법을 이용하고 있다는 것이다”며 “점점 조직화, 지능화 되는 사이버 범죄자들에 대응하기 위해서 조직의 보안 수준을 계속해서 점검하고 감염 여부를 확인하는 보안 노력이 필요하다”고 강조했다.
