카스퍼스키랩이 러시아에서 가장 큰 은행인 스베르은행(Sberbank), 그리고 러시아 사법부와 긴밀한 공조 수사를 통해 사이버 범죄조직에 소속된 50여명의 범죄자를 검거했다.
카스퍼스키랩은 이들과 관련해 2011년 이후 은행, 금융 기관 및 여러 기업에 걸쳐 4500만달러에 달하는 피해액을 남긴 악성 코드 유포에 관련된 것으로 추정된다고 밝혔다.
이들이 범행에 사용한 악성 코드는 러크(Lurk) 트로이목마다. 카스퍼스키랩은 지난 2011년 공격 대상의 컴퓨터에 접근하기 위해 다양한 기능을 가진 정교하며 범용 모듈 방식의 악성 코드인 러크(Lurk) 트로이목마를 이용하는 사이버 범죄 활동을 탐지했는데, 이 조직의 경우 인터넷뱅킹 서비스에 침투해 고객의 계좌에서 돈을 탈취하는데 집중했다고 설명했다.
악성 코드를 유포하기 위해 러크는 유수의 언론사 사이트를 비롯해 다양한 합법적인 웹사이트를 익스플로잇 공격을 통해 감염시켰다. 즉 사용자가 감염된 웹페이지를 방문하기만 해도 러크 트로이목마에 감염되게 한 것. 피해자의 PC에 침투한 악성 코드는 추가 악성 코드 모듈을 다운로드해 피해자의 돈을 탈취할 수 있도록 환경을 조성한다.
러크 트로이목마의 특이점은 피해자의 컴퓨터에 악성 코드가 저장되는 것이 아니라 RAM에 상주했다는 것이다.
또 서로 다른 VPN 서비스, 익명 Tor 네트워크, 해킹된 IT 조직에 있는 변조된 와이파이 네트워크와 서버를 활용함으로써 안티 바이러스 솔루션의 탐지 및 추적을 피해왔다.
카스퍼스키랩은 이들의 경우, 언론사뿐 아니라 해킹에 이용한 VPN 연결 흔적을 지우기 위해 여러 IT 및 통신사를 해킹한 후 감염 서버를 통해 익명으로 접속하는 방식으로 비금융권을 표적으로 삼았다고 밝혔다.
이창훈 카스퍼스키랩코리아 지사장은 “러크 트로이목마에 대한 러시아 사법부의 수사 초기부터 카스퍼스키랩의 전문가가 함께 했다”며 “이미 카스퍼스키랩에서는 기업과 개인 사용자에게 심각한 위협을 가하는 러크 공격의 배후에 러시아 해커 조직이 있음을 파악하고 있었다”고 전했다.
이어 “러크가 은행 공격을 시작한 것은 1년 6개월전이었지만, 그 전에도 이 조직은 다양한 기업과 개인 사용자를 대상으로 악성 코드를 유포해왔다”며 “이번 검거 작전은 카스퍼스키랩의 전문가들이 관련 악성 코드를 분석해 해커의 네트워크를 먼저 특정하였으며, 이후 러시아 경찰의 수사를 통해 용의자를 특정하고 그 동안 저지른 범죄의 증거를 수집할 수 있었다”고 덧붙였다.
카스퍼스키랩 측은 이러한 러크 트로이목마의 사례를 방지하기 위해 기업의 보안 대책에 특별히 주의를 기울이고 정기적으로 IT 인프라 보안 점검을 실시해야 함을 강조했다. 또 직원들에게 책임감 있는 사이버 행동에 대한 기초적인 보안 교육을 실시하는 것도 매우 중요하다고 언급했다.
한편 이번 검거 작전이 진행되는 동안 러시아 경찰에서 3000만달러 이상의 불법 인출을 막는 성과도 거둔 것으로 알려졌다.
