최근 시중 대형은행 7곳의 가짜 사이트를 미리 개설해놓고 이용자들을 유인, 40여명의 개인정보를 빼내 6억원의 예금을 인출해 간 피싱조직이 경찰에 붙잡혔다.

 
이들의 수법은 교묘했다. 홈페이지 주소가 이상한 사이트의 경우, 접속 자체를 꺼린다는 점을 간파, 이용자들이 포털이나 즐겨찾기 등을 통해 진짜 은행 사이트에 접속하더라도 가짜 은행사이트로 유인되는 수법을 사용했다. 은행 사이트 초기화면도 거의 비슷해 상당수 이용자들이 깜빡 속을 수 밖에 없었다.
 
용의자들의 경찰 진술에 따르면, 사이트 해킹은 모르는 일이며 자신은 자금 인출만 하여 중국 쪽으로 송금했다고 주장한다. 이들 말이 사실이라면, 실제 범행을 한 해커는 어디에 있을까?

 
현재 빛스캔 한국인터넷위협분석 보고서에 따르면 현재 대규모 악성코드를 유포하는 통로는 지난해 5월까지만 해도 게임 계정 탈취 악성코드가 약 87% 이상이었고 파밍 악성코드가 약 13% 정도였다. 하지만 지난해 하반기부터 파밍 악성코드가 급속히 증가하였고 올해 들어 파밍 악성코드가 전체 악성코드 중 약 82% 이상을 차지하게 되었다. 즉, 현재 파밍 사이트가 활개를 치는 것은 대규모로 유포 된 악성코드 때문이라고 볼 수 있다.
 
과거 수년간 해커들은 게임 계정 정보를 탈취하여 현금화하는 범죄가 일상화되어 있었다.  게임 아이템 거래 시장이 연간 1조 5천억원 정도로 규모가 크며, 게임은 어린 아이들이나 하는 것이라는 사회의 부정적인 시각도 일부 존재한다. 그렇기에 게임 계정을 탈취당하더라도 개인이 어떻게 취할 방도가 없는 상황이며, 게임사에 해킹을 당했다고 신고하여도 도와줄 수 없다는 답변만이 돌아올 뿐이다. 이렇듯 해커에게는 게임 계정 해킹을 통해 손쉽게, 그리고 조용히 현금을 벌어 들일 수 있는 최적의 먹잇감이었다.
 
하지만 지난해 하반기부터 공격자들의 전략이 변경되었다. 게임 계정을 통한 공격에서 금융 즉, 파밍에 대한 공격으로 변화되었다는 것이다. 왜 해커들은 금융권을 공격함으로써 은밀한 전략에서 벗어나 대한민국 뉴스의 일면을 차지하게 되었을까?

그 이면에는 지난해 9월 16일에 시행된 게임산업진흥에 관한 법률 시행령이 있다. 이 시행령의 골자는 반기당(6개월) 1,200만원까지만 판매할 수 있도록 제한한 것으로, 사업 목적 게임 아이템 거래 금지를 하기 위해서다. 이 시행령 때문에 해커들의 자금줄이 막혔을 가능성이 높다.
 
해커들은 자동화된 공격도구로 국내 유명 웹사이트들을 해킹하여 매주 주말마다 대규모 악성코드를 유포하고 지능적이며 은밀하게 행동한다. 또한 악성코드 유포하는 것을 드러낼 이유가 전혀 없다. 최대한 은밀하게 행동하여야만이 자신의 수익 모델을 지킬 수 있고 이익을 극대화 할 수 있기 때문이다.
 
대규모로 유포된 악성코드로 게임계정을 탈취하고 게임 아이템을 판매하여 현금화 하는 것이 해커들의 주 수익 모델이었다. 하지만 이 시행령으로 인해 한 개인이 반기당 1,200만원 밖에 판매할 수 없게 되자 게임 아이템을 현금화 하는 수익 모델에 문제가 발생했을 것.

즉, 아무리 많은 게임 아이템들이 있어도 현금화 할 수 있는 금액은 제한된 것이다. 혹자들은 타인 명의로 사용하면 되지 않는가?라고 말한다. 이것도 쉽게 할 수가 없다. 아이템 거래 사이트의 가상 현금을 인출하기 위해서는 꼭 본인 명의의 계좌가 필요하기 때문이다.
 
국내 아이템 거래 10여 년 동안 국내 주민등록번호로 만든 계정은 대부분 소진이 되었을 것이고 만약 어느 정도 수량이 있다 해도 가격이 비쌀 것이다. 계정에 연결된, 대포통장 및 현금카드까지 한다면 비용이 더 들게 된다. 여기에 개인 당 1,200만원 제한이 가해지니 현금화하더라도 실제 수익이 크게 줄어드는 효과가 나타난다. 참고로, 직거래도 하나의 방법이지만 자동화 된 시스템에 의해 판매하는 것보다 많은 노동력이 투입된다.
 
이에 따라 해커들은 수익 모델을 다각화 하려는 움직임이 포착되고 있다. 그 움직임 중의 하나로 금융권이 목표가 된 것이다. 이것이 지난해 하반기 이후 급증한 금융권 파밍의 근본적인 이유이다.
 
해커들의 다음 수익 모델은 어떤 모델일까? 스마트폰 해킹? 자동차 해킹? ‘그것은 현재 어떤 것이 돈이 되는가?’에 따라 달려있을 뿐이다.
 
게임계정 탈취, 파밍 등 이 모든 것들은 악성코드가 대규모로 유포되는 것을 사전에 차단하지 못하기 때문에 발생하고 있는 현상이다. 사전에 차단해야만 많은 수의 좀비 PC를 줄일 수 있다. 좀비 PC 1000만대가 양산되는 것을 선택하겠는가? 좀비 PC 100대 만으로 끝내기를 원하는가?
여기에서 핵심은 악성코드가 유포되는 통로를 선점하고 악성코드 유포를 사전 차단하는 것이다. 호미로 막을 것을 가래로 막는 말이 주는 의미를 곱씹어 보아야 할 시점이다.
 
악성코드에 감염되는 방법에는 신뢰받지 않은 파일, p2p 사이트에서 악성 파일 다운, 웹 사이트 접속 등 여러 가지가 있다. 이중에서 감염 비율이 가장 높은 것은 웹 사이트 접속 만으로 악성코드에 감염되는 것이다. 특히, 윈도우, JAVA, Adobe Flash 등의 보안 패치가 최신으로 유지하지 않는 컴퓨터 이용자가 정상적인 웹사이트를 방문하게 되면(악성코드를 유포하는 경우) 사용자가 알 수 없는 사이에 바로 감염된다.
 
정상적인 웹사이트는 사람들이 많이 방문하는 언론사, 쇼핑몰, 대학, 광고 사이트 등으로 해커들의 주요 표적이다. 이 사이트들을 해킹한 이후 악성링크를 삽입하고 방문하는 모든 방문자들을 대상으로 악성코드에 감염시키는 것이다. 
 
문제를 해결하기 위해서는 첫째, 먼저 악성코드가 대규모로 유포되는 시스템을 사전에 탐지하고 차단해야 한다. 둘째, 악성코드를 유포하는 웹 사이트들의 웹 취약성을 주기적으로 점검하여 제거하여야 한다.
 
웹 사이트는 수시로 수정하고 개편이 발생될 수 밖에 없는 구조인데도 불구하고 웹 보안 검사는 1년에 1~2번 밖에 할 수 없는 게 현실이다. 또한 모든 사이트들을 대상으로 할 수 없기에 대표적인 사이트만 할 수 밖에 없는 상황이다. 상시적으로 웹 해킹에 사용되는 인자값 검사가 가능해야 악성코드가 대규모로 유포되는 근본적인 원인을 제거할 수 있을 것이다.
 
방문자가 많은 사이트들에 대해서는 강력한 보안 규제가 필요하다. 현재는 해당 사이트를 운영하는 관리자에게 통보를 하여도 제재할 수 있는 부분이 없기에 방치할 수 밖에 없는 부분도 있다.
해커들은 이처럼 당신의 돈을 노리고 있는데 당신의 PC는 안녕한가? 아니 당신의 전자기기는 안녕한가?
 
[글. 조근영 빛스캔 연구원 re4lfl0w@bitscan.co.kr]