Home > 전체기사
크리덴셜 탈취 뱅킹 멀웨어 고즈님의 배후 일당 기소돼
  |  입력 : 2019-05-17 15:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
국제 공조 통해 신원 파악하고 기소하는 데 성공...체포 작전은 아직 진행 중
사이버 범죄, 이제 국경 넘는 조직력 보이는 게 흔한 일...공조의 기조도 바뀌어야


[보안뉴스 문가용 기자] 여러 나라의 사법 기관들이 공조를 통해 국제적인 사이버 범죄 단체의 구성원 10명을 체포 및 기소하는 데 성공했다. 이 조직의 이름은 고즈님(GozNym)으로 현재까지 세계 여러 곳의 조직들로부터 1억 달러 이상을 훔쳤거나 훔치려 시도했다고 한다.

[이미지 = iclickart]


최근 공개된 기소장에 의하면 위 10명은 고즈님에 소속돼 은행 사기, 전자 금융 사기, 자금 세탁 등을 저지른 혐의를 받고 있다. 이 중 5명은 러시아에서 활동하고 있으며 계속해서 사법 기관의 추적을 받아왔다고 한다. 나머지는 조지아, 우크라이나, 몰도바, 불가리아에서 활동했으며 각 국가에서 현재 재판이 진행 중에 있다.

여기에 11번째 인물이 있다. 크라시미르 니콜로프(Krasimir Nikolov)라는 본명을 가지고 있으나 온라인에서는 파블로피카소(pablopicasso)로 활동한다. 니콜로프는 이미 불가리아에서 체포돼 2016년 12월 미국으로 인도됐다. 그 후로 계속된 재판 과정을 통해 고즈님 활동에 참여한 것이 사실로 들어나며 유죄 판결을 받았다. 2019년 8월 30일 최종 판결이 있을 것이라고 한다.

이 사건을 담당한 스콧 브래디(Scott Brady) 검사는 “고즈님의 활동 방식과 체포 과정을 살폈을 때, 사이버 범죄와 그들을 추적하는 행위에 있어서 패러다임의 전환이 필요하다는 걸 느낄 수 있다”고 말한다. “이제 국경은 범죄자들에게 아무런 제약이 되지 못하고 있고, 그에 따라 수사도 변해야 합니다.”

기소장에 의하면 “이 11명의 인물들은 하나의 커다란 단체에 소속되어 있으며, 함께 미국과 유럽 등지에 있는 여러 기업과 조직들의 은행 계좌에서 돈을 훔쳐냈다”고 한다. 이 과정에서 고즈님이라는 멀웨어를 사용했다고 하는데, 고즈님은 사용자가 은행 서비스에 접속할 때까지 아무런 활동을 하지 않고 가만히 기다리는 원리를 가지고 있다고 한다. 그리고 크리덴셜을 훔쳐 공격자들의 서버로 전송한다.

고즈님의 일부 구성원들은 훔친 크리덴셜을 가지고 피해자의 은행 계좌에 접근해 돈을 빼내고, 이를 여러 나라의 은행 계좌로 송금하는 등의 방법으로 세탁했다. 고즈님에 대해서는 IBM이 2016년 4월 처음으로 공개했다. 니마임(Nymaim)과 고지(Gozi)라는 초기 은행 멀웨어 두 개를 합쳐서 만든 것이라는 점에서 고즈님이라는 이름이 붙었다. 당시 미국과 캐나다에서 열 곳이 넘는 은행이 당했었다.

고즈님의 우두머리로 보이는 인물은 조지아 트빌리시에 거주하고 있던 35세 알렉산더 코노볼로프(Alexander Konovolov)로, 온라인에서는 넌(NoNe) 혹은 넌1(none_1)이라는 이름으로 활동해왔다. 코노볼로프는 고즈님 멀웨어로 4만 1천대의 컴퓨터를 감염시켜 통제해왔다고 알려져 있다.

고급 범죄 단체
기소장에 따르면 코노볼로프는 지하의 러시아어 기반 포럼에서 고즈님 멤버들을 모집했다고 한다. 모집된 이들 대부분 이전부터 포럼 내에서 자신들의 실력을 홍보하며 아무 일이나 시켜달라고 하던 자들이었다. 이런 절차로 뽑힌 이들 중 마랏 카잔디안(Marat Kazandjian)이 있다. 31세 카자흐스탄인으로, 기소장에 의하면 코노볼로프의 오른팔이자 기술 관리자였다고 한다.

36세 게나디 캅카노프(Gennady Kapkanov)는 우크라이나인으로 아발란시(Avalanche)라는 호스팅 서비스를 제공하고 있다. 고즈님 멀웨어도 이 서비스를 통해 호스팅을 받고, 공격 표적들에게 퍼져나갔다고 한다. 캅카노프는 고즈님 외에도 200개가 넘는 사이버 범죄 단체에 호스팅 서비스를 제공 중에 있다고 알려져 있다. 하지만 우크라이나 당국이 2016년 11월 캅카노프를 체포하는 데 성공했다.

에두아드 말라니시(Eduard Malanici)는 32세 몰도바인으로 고즈님 멀웨어를 암호화 하는 역할을 담당했다. 블라디미르 고린(Vladimir Gorin)은 러시아인으로 고즈님을 개발, 대여, 관리하는 역할을 맡은 것으로 보이며, 루슬란 카티르킨(Ruslan Katirkin)은 계정 탈취 전문가로서 고즈님 작전에 참여했다고 한다.

그 외 인물들은 다음과 같다.
1) 알렉산더 반 후프(Alexander Van Hoof) : 우크라이나인
2) 빅토르 에레멘코(Viktor Eremenko) : 러시아인
3) 파카드 마노킨(Farkhad Manokhin) : 러시아인
4) 콘스탄틴 볼치코프(Konstantin Volchkov) : 러시아인
마노킨은 스리랑카에서 2017년 체포된 적 있으나 미국으로 인도되는 과정에서 탈출해 러시아로 도망가는 데 성공했다.

브래디 검사는 “사이버 범죄자들은 사이버 범죄에 대해 흔히 ‘얻는 건 많고 리스크는 적다’고 생각하는데, 그 때문에 과감한 일들을 많이 벌이는 편”이라며, “그것이 잘못된 생각이라는 걸 사법 기관들이 증명해야 한다”고 말했다. “나쁜 일을 벌였을 때 체포될 수 있다는 걸 증명하면 사이버 범죄자들이 한 번 더 생각하게 될 것입니다.”

3줄 요약
1. 고즈님이라는 멀웨어 사용하던 사이버 범죄 단체 멤버들, 전부 기소됨.
2. 러시아, 몰디브, 우크라이나, 카자흐스탄인 등 국적도 다양. 공조에 참여한 국가들도 다양.
3. 사이버 범죄에는 대가가 따른다는 걸 사법 기관들이 증명해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)