카스퍼스키랩과 러시아에서 가장 큰 은행인 Sberbank, 러시아 사법부와의 긴밀한 공조 수사를 통해 50명의 범죄자를 검거했다. 이들은 2011년 이후 은행, 금융 기관 및 여러 기업에 걸쳐 4천 5백만 달러(30억 루블 )에 달하는 피해를 입힌 악성코드 유포에 관련된 것으로 추정된다. 이번 작전은 러시아 사상 최대 규모의 해커 검거 작전이었다.
 
2011년 카스퍼스키랩은 공격 대상의 컴퓨터에 접근하기 위해 다양한 기능을 가진 정교하며 범용 모듈 방식의 악성 코드인 Lurk 트로이목마를 이용하는 사이버 범죄 활동을 탐지했었다. 특히 이 조직은 인터넷뱅킹 서비스에 침투해 고객의 계좌에서 돈을 탈취하는 데 집중했다.
 
카스퍼스키랩코리아 이창훈 지사장은 “Lurk 트로이목마에 대한 러시아 사법부의 수사 초기부터 카스퍼스키랩의 전문가가 함께 했다. 이미 카스퍼스키랩 에서는 기업과 개인 사용자에게 심각한 위협을 가하는 Lurk 공격의 배후에 러시아 해커 조직이 있음을 파악하고 있었다”며 “Lurk가 은행 공격을 시작한 것은 1년 6개월 전이었지만, 그 전에도 이 조직은 다양한 기업과 개인 사용자를 대상으로 악성 코드를 유포해왔다. 이번 검거 작전은 카스퍼스키랩의 전문가들이 관련 악성 코드를 분석해 해커의 네트워크를 먼저 특정했으며, 이후 러시아 경찰의 수사를 통해 용의자를 특정하고 그 동안 저지른 범죄의 증거를 수집할 수 있었다. 카스퍼스키랩은 앞으로도 사이버 범죄 척결을 위한 지원을 아끼지 않을 것"이라고 말했다.
 
검거 작전이 진행되는 동안 러시아 경찰에서 3천만 달러(22억 7천3백만 루블) 이상의 불법 인출을 막는 성과도 거뒀다.
 
◇Lurk 트로이목마
악성 코드를 유포하기 위해, Lurk는 유수의 언론사 사이트를 비롯해 다양한 합법적인 웹사이트를 익스플로잇 공격을 통해 감염시켰다. 즉, 사용자가 감염된 웹페이지를 방문하기만 해도 Lurk 트로이목마에 감염되었다. 일단, 피해자의 PC에 침투한 악성 코드는 추가 악성 코드 모듈을 다운로드 하여 피해자의 돈을 탈취할 수 있도록 환경을 조성했다.
 
이들이 노린 비 금융권 표적은 언론사에만 국한하지 않았다. 해킹이 이용한 VPN 연결의 흔적을 지우기 위해 이들은 여러 IT 및 통신사를 해킹한 후 감염된 서버를 통해 익명으로 접속했다.
 
Lurk 트로이목마의 특이점은 피해자의 컴퓨터에 악성 코드가 저장되는 것이 아니라 RAM에 상주했다는 것이다. 또한, Lurk 트로이목마의 개발자는 안티 바이러스 솔루션의 탐지를 최대한 피하고자 했다. 그래서 서로 다른 VPN 서비스, 익명 Tor 네트워크, 해킹된 IT 조직에 있는 변조된 Wi-Fi 네트워크와 서버를 활용해 추적을 피했다.
 
◇보안 교육과 정기적인 보안 점검 필요
Lurk 트로이목마의 사례와 같이 사이버 공격의 피해를 당하지 않으려면, 기업의 보안 대책에 특별히 주의를 기울이고 정기적으로 IT 인프라 보안 점검을 실시해야 한다. 이를 통해 최소한 알려진 취약점에 대한 대비는 가능해지기 때문이다. 또한 직원들에게 책임감 있는 사이버 행동에 대한 기초적인 보안 교육을 실시하는 것도 매우 중요하다.
 
오늘날 만연한 표적형 공격에 대비할 수 있는 보안 대책의 수립도 시급하다. 가장 좋은 방법은 기업이 보안 위협 탐지와 대응에 적극적으로 투자하여 보안 위협 방지 전략을 보완하는 것이다. 매우 정교한 표적형 공격이라도 그 기업의 업무 흐름과 비교해보면 비정상적인 활동이 드러나게 마련이다.
 
표적형 공격을 탐지하기 위한 카스퍼스키랩의 솔루션에는 이러한 비정상적 활동을 분석하기 위한 인텔리전스 시스템이 포함되어 있다.
 
한편, 카스퍼스키랩은 해당 Lurk 트로이목마를 Trojan.Win32.Lurk, Trojan-Banker.Win32.Lurk, Trojan-Spy.Win32.Lurk를 통해 모두 탐지하고 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com