트릭봇이라는 악명 높은 멀웨어의 개발자 한 명이 기소됐다. 이 기소장을 통해 범죄자들의 규모와 조직적 움직임이 상상 이상임이 드러났다. 트릭봇 운영에 참여한 자들은 회사처럼 캠페인을 운영했으며, 참여자들은 자신들이 일하는 곳을 ‘회사’라고 부르기도 했다고 한다.

[보안뉴스 문가용 기자] 트릭봇(Trickbot) 멀웨어를 활용한 사이버 작전을 펼치던 단체를 추적하는 과정에서 사이버 범죄 네트워크가 얼마나 방대해질 수 있는지가 드러났다. 트릭봇은 10개가 넘는 국가의 수백만 시스템을 감염시킨 악명 높은 멀웨어로, 이를 운영하는 데에 멀웨어 전문가와 프리랜서 개발자, 자금 운반책 등 수많은 사람들이 각자의 역할을 가지고 참여하고 있었다고 한다.


이는 트릭봇의 개발에 참여한 혐의로 기소된 리트비아 여성 알라 비트(Alla Witte)의 기소장에 제법 상세히 나와 있었다. 여기에 따르면 트릭봇을 중심으로 스무 개에 가까운 역할군이 생겨났고, 이는 트릭봇을 가지고 각종 공격을 하는 과정 중 필요에 따라 그 때 그 때 즉흥적으로 만들어진 것이 대부분이라고 한다. 이들은 점찍은 개발자 ‘후보군’들에게 여러 가지 프로그래밍 문제들을 주거나, 자신들의 필요에 적합하다고 보이는 개발자들과 필요한 논의를 이뤄가기도 했으며 각종 사이버 범죄 시장의 서비스를 활용해 작전 수행의 효율성을 극대화시켰다.

보안 업체 멀웨어바이츠(Malwarebytes)의 국장인 아담 쿠자와(Adam Kujawa)는 “역할 분배의 정확도와 수준이 가공할 정도”라고 말한다. “특정 그룹은 멀웨어 컴파일링을 담당하고, 어떤 그룹은 컴파일링이 다 된 것을 가지고 암호화를 진행합니다. 암호화까지 완료된 멀웨어는 유포 담당자들에게 전달되죠. 그 외에도 다양한 파트너들이 달라붙어 작업을 효율적으로 진행합니다. 재미있는 건 이들이 개발자들을 구하기 위해 러시아의 공식 구인구직 사이트를 활용한다는 겁니다. 이들이 요구하는 기술력의 수준이 다크웹에 존재하는 해커들의 그것을 넘어선다는 뜻입니다.”

트릭봇 운영을 담당하고 있는 조직의 규모가 얼마나 큰지, 지난 10월 미국 정부와 산업체가 공동으로 벌인 트릭봇 폐쇄 작전은 사실상 실패로 돌아갔다. 당시에는 어느 정도 성과가 있긴 했지만, 트릭봇은 빠르게 복구해 기존의 세력을 되찾았다.

기소장에는 범죄자들 간의 대화 기록도 어느 정도 담겨 있었다. 실명이 거론되지는 않았지만 공개된 내용에서 범죄자들은 공격의 근원지 추적을 방해하기 위해 미국에 서버를 마련해야 한다고 이야기를 나누기도 했다. 그러면서 한 명은 “미국인들에게서 돈을 훔치는 거니까 우리에게 감사하고 훈장을 줘야 마땅하다”고 말하기도 했다. 아마도 감사를 하고 훈장을 주는 주체는 러시아 정부를 말하는 것으로 보인다.

그런데 그런 일이 어느 정도 의심되는 정황 설명이 기소장에 나와 있다. 2015년 11월 러시아 정부는 다이어(Dyre)라는 멀웨어 공격 작전에 연루된 자들을 체포했다고 한다. 공격자들은 25번째층(25th Floor)이라는 영화사를 배후에 두고 움직이고 있었다. 하지만 어쩐 일인지 이 공격자들에 대한 재판이나 기소는 이뤄지지 않았다고 한다. 그리고 다이어 운영자들은 체포된 후 얼마 지나지 않아 다시 작업을 시작했고, 공격 인프라가 금세 부활했다. 이는 트릭봇 그룹의 기초석이 되었다고 한다.

트릭봇 운영자들은 자신들이 원하는 개발자들을 찾기 위해 프로그래밍 및 해킹 테스트를 진행하기도 했다. 그래서인지 트릭봇 범죄에 참여하는 자들 중 일부는 트릭봇 조직을 ‘회사(firm)’라고 부르기도 했다. 개발자들을 선택하는 건 ‘리더십 그룹’인데, 후보들 중 ‘블랙햇 해킹’ 행위를 하는 데 있어 조금이라도 머뭇거리거나 확인 질문을 재차 하면 두 번도 생각하지 않고 탈락시켰다고 한다. 부적격자로 분류되는 것이다.

트릭봇 운영자들은 사이버 범죄 서비스들도 다양하게 활용할 줄 알았다. 특히 눈에 띄는 건 백신 스캐너를 무력화시키는 서비스로, 바이러스 체크메이트(Virus Checkmate, VCM)라는 서비스가 사용되었다고 기소장은 증언하고 있다. 또한 4만 3천개의 파일을 이 서비스로 업로드 시켜 백신을 피해갔다고 한다.

2017년부터 2019년부터 트릭봇 그룹은 최소 29건이 사기 송금을 시도했는데, 건마다 적게는 4만 4800달러에서 많게는 69만 1570달러에 이르렀다. 하지만 이 중 어느 정도나 성공했는지는 기소장에서 밝히지 않고 있다.

4줄 요약
1. 트릭봇 개발자 기소장을 통해 트릭봇 운영 조직의 방대한 규모가 드러남.
2. 면접과 시험을 통과해야만 합류 가능할 정도로 빡빡한 인원 뽑기. ‘회사’라고 불리기도 함.
3. 각종 범죄 시장의 서비스 이용하여 효율의 극대화 도모하기도 함.
4. 미국을 공격하는 것에 대한 자부심도 일부 느껴짐.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>