유명 공격 그룹 FIN7의 우크라이나인 일당 검거

시스템 관리자 및 고급 해커 신분 가진 세 명 체포 성공
FIN7 사라질 것 같지는 않지만, 보안 커뮤니티의 승리 위한 첫 걸음

[보안뉴스 문가용 기자] FBI가 역대 최대라고 불릴 정도의 대단위 수사를 펼쳐 2015년부터 지불카드 정보와 금융 데이터를 해킹해온 유명 사이버 범죄 그룹 FIN7의 핵심 인물 세 명을 체포하는 데 성공했다. 미국 사법부에 의하면 이들은 총 1500만 개의 지불카드 정보를 100개가 넘는 기업들로부터 털었다고 한다.

[이미지 = iclickart]

기소된 우크라이나인 세 명은 각각 드미트로 페도로프(Dmytro Fedorov, 44), 페디르 흘라디르(Fedir Hladyr, 33), 안드리 콜파코프(Andrii Kolpakov, 30)다. 이들은 FIN7에 소속되어 각종 사이버 범죄를 저질렀다고 사법부는 기소문을 통해 공개했다. FIN7의 또 다른 이름은 카르바낙 그룹(Carbanak Group)이다.

FIN7은 현재까지 3600여개 지역에서 6500개가 넘는 POS 단말기를 침해한 것으로 알려져 있으며, 미국에서만 47개주에서 피해를 일으켰다. 주로 피해를 입은 산업은 숙박업, 요식업, 게임 산업이었다. 그 외에도 FIN7은 영국, 프랑스, 호주 등에서 피해자를 양산했다.

이들을 기소한 검사는 FIN7이 전 세계에서 가장 공격적이고 수준 높은 공격자들 중 하나라며, 세계 곳곳에 작전 수행자들과 C&C 인프라를 배치하고 있다고 설명하고 있다. 또한 고급 멀웨어 툴과 공격 전략도 다량으로 보유하고 있음을 지적했다. 심지어 콤비 시큐리티(Combi Security)라는 유령 회사를 설립해 여러 피해자들을 속이기도 했다고 한다.

기소된 세 명의 우크라이나인은 각각 26건의 흉악 범죄 사건에 대한 혐의를 받고 있으며 대부분 텔레뱅킹을 이용한 금융사기, 컴퓨터 해킹, 접근 장비 사기, 신원 탈취, 대규모 범죄 작전 계획과 실행과 관련이 있다.

이 중 흘라디르는 FIN7의 시스템 관리자로 알려져 있으며, FIN7의 서버와 통신 채널을 유지하는 중책을 맡고 있다고 한다. 독일의 드레드덴에서 올해 초 체포됐으며, 현재는 시애틀에 구금되어 있다. 재판은 10월 22일에 진행될 예정이다.

페도로프는 FIN7에 소속된 “고급 해커(high-level hacker)”이며, 네트워크를 침해하는 임무를 맡은 사람들을 감독하는 역할을 맡고 있다고 한다. 폴란드의 비엘스코비알라에서 올해 초 체포됐으며 미국으로 이송될 예정이다. 콜파코프는 스페인의 레페에서 체포됐고, 역시 미국으로의 이송을 기다리고 있다.

FBI의 특수요원인 제이 탭(Jay Tabb)은 “FIN7의 멤버들을 체포했다는 건 미국 및 여러 나라에서 활동하는 사법 집행 기관의 커다란 승리”라고 표현한다. “세 명의 주요 인물이 실명으로 공개됐다는 건 FIN7이라는 놀라운 수준의 범죄 집단을 근간부터 서서히 뒤흔들기 시작했다는 뜻이 됩니다.”

보안 업체 파이어아이(FireEye)는 2015년부터 FIN7을 추적해온 곳으로 “지불카드 관련 정보를 집요하게 노리는 집단”이라고 설명한다. “가장 최근에는 허드슨베이(Hudson's Bay)가 당하기도 했습니다. 삭스(Saks)나 로드 앤 테일러(Lord & Taylor)와 같은 브랜드를 보유한 회사죠. 이 때문에 허드슨 베이 그룹은 5백만 개의 신용카드 기록을 도난당했습니다. 이 기록들은 후에 암시장에서 거래되고 있는 것이 목격되기도 했고요. 그렇다고 FIN7이 지불카드만 노리는 집단은 아닙니다.”

올해 초 파이어아이의 전문가들은 FIN7이 “다수의 조직들을 노리고 공격한다”는 경고성 발표를 하기도 했다. 특히 미국의 증권거래위원회와의 업무를 담당하고 있는 재무부 직원들이 경고의 대상이었다. 아마도 내부자 거래를 위한 정보를 취득하기 위한 것이라고 파이어아이는 추측했다.

FIN7의 주된 공격 전략은 피싱 이메일이다. 다만 여느 피싱 공격과 달리 수준이 매우 높고 정교하게 만들어져 있어 많은 사용자들이 속는다. 그리고 이들이 첨부한 워드 문서를 여는데, 그런 경우 엠베드 된 멀웨어가 활동을 시작한다. “표적화된 스피어피싱 공격에 매우 능숙합니다. 받는 사람이 열 수밖에 없도록 개인화된 메시지를, 급하다는 내용으로 보냅니다.”

예를 들어 한 번은 FIN7이 한 매장의 매니저에게 “돈이 지나치게 많이 청구된 것 같다”는 항의성 메일을 보내며 영수증을 첨부했다. 매니저 입장에서는 당연히 고객 불만 사항을 접수하고 검토할 수밖에 없었다. 또 다른 경우 식당 관리자에게 “식중독에 걸렸다”고 메일을 보내며 의사 소견서를 보내기도 했다. 물론 가짜 문서였다.

이런 식으로 감염을 시키고 나면 FIN7은 C&C 인프라를 사용해 여러 멀웨어를 심기 시작한다. 주로 데이터를 빼내면서 정찰 작업을 시작하는 게 먼저인데, 여기서 얻은 정보를 바탕으로 네트워크 내에서 횡적으로 움직여 여러 가지 악성 행위들을 시작한다. 스크린샷이나 심지어 영상 기록을 저장하기도 하며 사용자들을 관찰한다. 원하는 정보가 나올 때까지 조심스럽게 정보를 수집한다.

파이어아이의 금융 범죄 담당자인 킴벌리 구디(Kimberly Goody)는 “놀라울 정도로 정교한 소셜 엔지니어링 기술과 탐지 우회 기술을 바탕으로 짧은 시간 안에 크게 성장한 그룹이 바로 FIN7”이라며, “금융 기관을 주로 노리는 공격자들은 대부분 이런 식의 성장 패턴을 보인다”고 경고한다. “FIN7만이 유독 대단하고 놀라운 공격자들인 건 아닙니다. 금융 기관에 대한 공격 기회는 누구나 호시탐탐 노리고 있습니다.”

파이어아이는 “세 명을 체포했다고 해서 FIN7의 활동이 멈출 것이라고 보지는 않는다”는 의견이다. 오히려 활동이 더 조심스러워지고, 따라서 추적이 더 힘들어질 수 있다고 예상하고 있다. “그래도 이것이 승리의 첫 걸음이라는 데에는 이견이 없습니다. 아무리 변화해도 끝까지 추적하고 체포하는 것이 보안 커뮤니티의 할 일입니다.”

3줄 요약
1. 금융 산업에서 유명한 범죄 그룹 FIN7의 일당 세 명 체포.
2. FIN7의 또 다른 이름은 카르바낙. 기술이 매우 고급진 것으로 유명한 그룹.
3. 핵심 인물로 보이는 세 명 체포됐지만, FIN7이 사라질 가능성은 낮음.
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)