Home > 전체기사
나이지리아에서 또 다시 BEC 범죄단 두목 잡혀
  |  입력 : 2016-08-05 11:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
자기 멀웨어에 스스로 감염... 공격 절차 및 범죄 과정 다 드러나
20대~40대의 존경받는 리더들이 범죄 가담


[보안뉴스 문가용] 최근 나이지리아의 사이버 범죄 갱단의 두목이 시큐어웍스(SecureWorks)의 보안 전문가들에게 덜미를 잡혔다. 자기 멀웨어에 스스로 감염이 되어 자신의 정보 및 도난 활동 등이 온라인에 일부 공개가 된 것이 계기가 되었던 것이다.


미스터 엑스(Mr. X)라는 이름으로 활동하고 있던 이 두목은 송금을 유도하는 이메일 사기 공격(BEC)을 주로 사용하는 ‘차세대’ 갱단을 이끌었으며, 정식 이메일 로그인 정보를 각종 기업으로부터 훔쳐 관리직 임원인 것처럼 가장해 밑에 직원이 자신에게 돈을 부치도록 했다.

이들이 ‘차세대’라고 분리되는 것은, 미스터 엑스 이전에 존재했던 나이지리아 419(Nigerian 419) 사기 범죄와는 달리 구성원들의 나이가 20대에서 40대 사이였으며 나름 자신이 속한 공동체에서 ‘오피니언 리더’급 활동을 하던 사람들이었다. 419의 경우 구성원들은 대학생들이 대부분이었다.

“확실히 이전 나이지리아 419와는 다릅니다. 구성원들이 너무나 달라요. 이제 막 사회에 진출하려고 하는 대학생들과 달리 이미 다양한 공동체에서 성공적으로 활동하고 있던 이들이거든요. 존경받는 리더들이었어요.” 시큐어웍스의 연구원인 제임스 벳케(James Bettke)의 설명이다.

이 ‘차세대 그룹’은 연간 3백만 달러의 수익을 올렸다고 알려졌다. 돈 세탁과 자금 운반책들에게 3백만 달러를 지급한 후의 금액이니, 꽤나 높은 금액을 벌어들인 것. 미스터 엑스 외에 약 40명이 여기에 동참한 것으로 알려져 있고, 미스터 엑스는 나이지리아 사법 기관의 조사를 받고 있는 중이다.

“일단 멀웨어부터 조사를 시작하고 있었습니다. 분석을 하는 와중에 한 웹 서버에 접속하게 되었는데, 거기에 온갖 정보들이 다 있었습니다. 미스터 엑스가 자기 멀웨어에 감염되었던 것입니다. 치명적인 실수를 한 것으로 보입니다. 혹은 멀웨어를 시험하고 있던 중이었거나요.” 발견 경위에 대한 벳케의 설명이다.

해당 서버에는 미스터 엑스의 일당들이 작전을 수행할 때의 스크린샷과 키스트로크 로그가 저장되어 있었다. 스크린샷 중에는 미스터 엑스의 메시지, 페이스북 페이지, 계좌 정보까지 찍혀있는 것이 있었다. “이 로그만 봐도 미스터 엑스의 범죄단이 어떤 식으로 작업을 진행했는지 훤히 보일 정도였습니다.”

미스터 엑스 일당의 공격 기법 중 핵심은 피싱인 것으로 밝혀졌다. 피싱으로 기업 네트워크에 침투해 멀웨어를 심고, 스니핑을 통해 이메일 로그인 정보를 훔쳐낸 것이다. 그런 다음 해당 이메일에 접속해 자산 운용 및 거래 정보를 수집해 작전을 꾸몄다. 바이어의 이메일을 스푸핑하기도 하고 중간자 공격을 통해 온라인 거래를 중간에 가로채기도 했다.

피해 기업 중 미국의 화학 회사도 하나 있었는데, 인도의 공급자로부터 화학재료를 사들이는 곳이었다. 이 과정에 미스터 엑스가 개입했다. 해당 인도 공급자인 것처럼 가장해 4십만 달러의 거래를 진행하고, 그 돈을 가로챘다. 물론 해당 화학 회사는 돈만 잃고 아무런 재료를 받지 못했다. “두 회사 사이가 불편해진 건 덤이죠.” 이에 시큐어웍스는 Pdfexpose라는 툴을 출시했다. PDF 기반의 인보이스를 검사해 거래의 안정성을 높여주는 기능을 가졌다고 한다.

한편 인터폴과 나이지리아의 경제금융범죄위원회는 이번 주 마이크(Mike)라는 또 다른 BEC 범죄단의 리더를 체포하는 데 성공한 바 있다. 마이크 역시 BEC 공격으로 약 6천만 달러의 부당수익을 올린 바 있다. FBI는 올 한해 동안 BEC 공격에 당한 피해자는 17642명이며, 총 23억 달러의 피해가 발생했다는 자료를 발표하기도 했다. 마이크와 미스터 엑스는 별개의 인물이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)