트렌드마이크로 FTR팀과 영국 국가범죄수사국의 파트너십으로 멀웨어 비즈니스 모델을 통해 반 안티바이러스 서비스인 Refud.me와 암호화 서비스인 Cryptex Reborn을 운영해 온 혐의로 영국 출신 범죄자들이 체포되었다.
 
Refud.me와 Cryptex Reborn은 대규모 지하 경제 비즈니스 모델의 기반이 되는 핵심 요소였는데 이러한 요소들을 무력화시킴으로써 영국 내외의 사이버범죄 활동을 저지시키고 사이버범죄자들이 퍼뜨리는 멀웨어들을 탐지하기가 수월해졌다.
 
트렌드마이크로 Forward-Looking Threat Research의 수석 책임자 마틴 로슬러는 “이번 수사는 사이버범죄자들의 비즈니스 모델의 기반이 되는 핵심 요소를 근절시키기 위해 트렌드마이크로와 영국 국가범죄수사국(NCA) 및 기타 파트너들이 협력한 결과다. 2015년 7월, 트렌드마이크로와 NCA는 사이버범죄를 조사하고 퇴치하기 위한 노력의 일환으로써 양해각서에 서명했고, 이 계약을 통해 양사간 가상(virtual) 팀을 구성해 특정 사이버범죄 위협을 저지하기 위한 혁신적 방법을 모색했다. 이번 파트너십을 통한 범인 체포 내용은 공동 보도자료를 통해 발표되었다”고 말했다.
 
Refud.me와 Cryptex Reborn은 사이버범죄자들의 지하 포럼에서 널리 홍보되고 사용되어 왔다. 그 중에서도 Hackforums.net은 해킹, 기술, 게임에 관한 게시글을 공유하는 것으로 알려져 있다.
 
Refud.me는 2015년 2월말부터 Hackforums.net에 광고를 게재해왔으며 다양한 신기능을 추가하였다. “scanwahch” 기능은 업로드한 파일을 지속적으로 검사하고 탐지 상황을 알려주는 기능으로 2015년 7월 말에 추가되었다. 
 
Refud.me는 CAV 스캐너를 제공하여 사용자들이 검사하려는 샘플을 업로드할 수 있도록 한 후 널리 알려진 30-40개의 백신 제품에 탐지되는지 여부를 테스트 하는데, 테스트 목적은 멀웨어 제작자나 사용자들이 멀웨어를 배포하기 전에 백신 제품에 탐지되는 확률을 최소화하기 위한 것이다. 이와 유사한 합법적인 멀티 스캐너 서비스도 있지만 CAV의 특징은 샘플이나 피드백 데이터를 여러 AV 회사들과 공유하지 않는 다는 것이며 이 내용을 광고를 통해 적극 홍보하고 있다.
 
Cryptex Reborn은 암호화 서비스를 제공하며 이 때 특정 프로그램을 사용하는데 이 프로그램들은 거의 악성코드이며 이를 개조해 안티바이러스 회사의 탐지 엔진을 회피한다. 이런 식으로 개조되고 출시 시점에 안티바이러스 회사의 탐지를 회피할 수 있는 멀웨어를 FUD(Fully UnDetectable)라고 합니다. 이 멀웨어는 대개 현대식 AV 엔진의 고급 행위기반 탐지(heuristic) 기능까지는 고려하지 않는다.
 
Cryptex Reborn 툴킷은 장기간에 걸쳐 수 차례 업데이트되었고 “Cryptex”라 불리던 초기 버전은 2011년 10월부터 광고가 게재되어 왔다. 2011년 말, 이 툴은  “Cryptex Lite”와 “Cryptex Advanced”라는 두 개의 암호화 도구로 분리되었고 이들 각 도구는 서로 다른 기능을 갖추고 있었다. 이 도구들은 안티바이러스 엔진의 발전에 대응하기 위해 자주 버전 업데이트를 하였으며 Cryptex 툴킷의 최신 버전이 “Cryptex Reborn”이며 2014년 9월부터 광고를 게재하고 있다.
 
트렌드마이크로는 사이버범죄를 저지할 효율적 해결책으로 공-사간의 협력을 통해 지난 10월, 우리는 FBI 및 여러 보안 업체들과 협력해 은행을 표적으로 하는 DRIDEX 봇넷을 근절시켰으며 올해 초에는 인터폴 및 여러 업체들과 협력하여 SIMDA 봇넷을 퇴치한 바 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com