FEATURES CYBERCRIME - 온라인으로 은행을 털어라

사이버 지하세계엔 컴맹이라도 전문 절도범이 될 수 있는 크라임웨어가 기승을 부린다

사상 최대의 강탈 사건 중 하나였다. 세계 각지의 사람들로부터 5억 달러를 가로챘지만 그런 일이 일어나는 줄은 거의 아무도 몰랐다. 몇몇 도둑들과 공모자, 사이버스페이스에서 그들을 추적하는 ‘선량한’ 해커들만 그런 일을 알았을 뿐이다.

지난 1월 미 연방 수사관들은 그 사건의 배후로 러시아인 알렉산드르 안드레에비치 파닌을 체포하고 그에게서 범행 일체를 자백 받았다고 발표했다. 파닌의 체포는 온라인에서 불법으로 돈을 가로채는 일반적인 사기꾼의 그렇고 그런 이야기에 비할 바가 아니다. 그 사건은 인터넷의 가장 어두운 구석에서 번성하는 지하 불법천지의 놀라운 세부 사실들을 속속 드러냈다. 그곳에서 ‘음흉한’ 해커들은 누구나 바로 사용할 수 있는 소프트웨어를 판매한다. 몇 천 달러만 주고 그 프로그램을 구입하면 아무리 컴맹이라도 만난 적도 본 적도 없는 사람들의 은행계좌를 털 수 있다.

이제는 인터넷 범죄를 저지르려고 마음만 먹으면 코드를 만들고 프로그램을 시험하는데 몇 주나 매달릴 필요가 없다. 해커 웹사이트에서 파는 프로그램을 사용하면 누구라도 단 몇 분만에 전문 절도범이 될 수 있다. 그런 불법 프로그램은 ‘맬웨어 툴킷(malware toolkits, 악성코드 도구함)’ 또는 ‘크라임웨어(crimeware, 범죄용 코드)’로 불리며 ‘제우스(ZeuS)’ ‘스파이아이(SpyEye)’ ‘버터플라이봇(Butterfly Bot)’ 같은 고유 상표도 갖고 있다.

이런 프로그램이 진화하면서 법집행 기관은 힘겨운 도전에 직면했다. 사이버범법자들의 범위가 크게 확대되면서 그 수가 많아졌고 온라인으로 사기를 치기도 더 쉬워졌기 때문이다. 미 연방수사국(FBI)의 사이버범죄 전문가 출신으로 현재 민간 보안업체 크롤의 사이버 수사 책임자인 티머시 라이언은 이렇게 말했다. “맬웨어 툴킷 때문에 완전히 새로운 해커들이 등장했다. 이런 도구가 확산되면 사이버범죄에 진입하는 문턱이 크게 낮아진다.”

맬웨어 툴킷맬웨어 툴킷을 통해 절취되는 돈 액수는 어마어마하다. 예를 들어 온라인에서 ‘솔저(Soldier, 병사)’라는 가명을 쓴 한 범행자는 혼자서 스파이아이를 사용해 하루 약 1만7000달러를 훔쳐 2011년 상반기에만 320만 달러를 긁어 모았다. ‘솔저’는 은행 세 곳(체이스, 웰스파고, 뱅크 오브 아메리카)을 표적으로 했으며 온라인 고객 약 3500명의 컴퓨터에 침투했다.

그런 사이버범행자들은 훔친 돈을 숨기기 위해 흔히 다른 사람을 꾀거나 속여 도움을 받는다. 예를 들어 ‘솔저’의 경우 수사관들에 따르면 캘리포니아주 웨스트할리우드에 거주하는 ‘비아츠체슬라프’로 알려진 공모자에게 수표를 보냈다. 그 돈은 다시 LA에 살며 ‘가브리엘라’로 불리는 두 번째 공모자에게 옮겨졌다. 맬웨어 절취범의 수법이 흔히 그렇듯이 그 돈은 다시 ‘돈 운반책(money mules)’ 또는 ‘스머퍼(smurfers)’로 알려진 사람들에게 전신이나 택배로 보내진다.

그들은 합법적인 기업의 외상매입금 처리 직원이나 수금 전문 에이전트로 고용된 줄 안다. 하지만 그들의 업무는 가짜이며 그들을 고용한 곳도 유령회사다. 그들은 돈세탁 사슬의 마지막 고리일 뿐이다. 수표를 자신의 계좌에 입금한 다음 해커의 지시에 따라 다른 은행으로 송금한다. 그 대가로 거래된 금액의 일부 비율을 지급받는다.

솔저를 고용한 유령회사는 L&O 컨설팅이었다. 수백만 달러가 그런 운반책을 통해 이동한다. 물론 운반책으로 고용될 사람 중 일부는 그 일이 사기라는 것을 안다. 예를 들어 수사관이 입수한 2011년 7월 11일 이메일에 따르면 한 지원자는 L&O사의 자칭 ‘인사부장’에게 이렇게 말했다. “내게 주어진 업무분장을 보면 돈세탁 술책인 것을 99.99% 확신할 수 있네요.”

그러나 대다수는 L&O의 달콤한 속임수에 넘어가 자신도 모르게 사기 공범이 됐다. 그들은 나중에야 모든 게 거짓이라는 사실을 알게 된다. 한 운반책은 L&O의 중간관리라는 사람에게 보낸 이메일에서 이렇게 말했다. “당신 회사를 위해 일했지만 부도 수표만 받았다. 그 때문에 내 계좌가 동결됐다.” 그는 유효한 수표를 보내주지 않으면 FBI와 거래개선협회(BBB)에 신고하겠다고 했지만 결국 제대로 된 수표를 받지 못했다.

스파이아이이런 맬웨어를 사용하는 사람이 너무 많다. 따라서 수사관들은 이런 위협을 막는 최선의 방책이 프로그램 사용자보다는 소프트웨어 개발자와 판매자를 표적으로 하는 것이라고 믿는다. 그래서 스파이아이의 개발자 파닌을 체포하고 자백을 받아냈다는 사실이 매우 중요하다. 툴킷 제조자들은 자신들이 절대 잡히지 않는다고 온라인으로 떠벌리지만 파닌이 체포됐다는 사실은 아무리 수법이 교묘하다고 해도 정부가 추적할 수 있다는 점을 보여준다.

파닌을 체포하게 된 과정은 2009년 컴퓨터 보안회사 트렌드 마이크로의 사무실에서 시작됐다. 위협 전문 조사관 루시프 카루니는 컴퓨터 시스템에 위험이 될 수 있는 새로운 추세를 찾으려고 해커 웹사이트들을 훑어봤다. 그는 고객들로부터 새로 개발된 프로그램이 금융거래를 혼란시킨다는 이야기를 들었다. 카루니는 온라인 해커 포럼에서 정보를 찾다가 ‘아이봇(EYEBOT)’이라는 맬웨어 툴킷을 판매하려는 사람을 발견했다. 그 프로그램이 나중에 ‘스파이아이’로 개명됐다.

카루니로선 처음 보는 프로그램이었다. 그는 2006년께 등장한 ‘제우스’는 알고 있었다. 은행 고객의 계좌에서 온라인 거래 ID와 패스워드 같은 정보를 훔치는 크라임웨어다. 하지만 ‘스파이아이’는 달랐다. 추가 기능이 많았다. 예를 들어 감염시킨 컴퓨터의 화면을 캡처할 수 있는 비디오 플러그인, 플래시 드라이브에서 ‘스파이아이’를 숨겨 데이터 저장장치가 USB 포트에 꽂힐 때마다 그 프로그램을 퍼뜨릴 수 있는 코드도 갖췄다.

일반적으로 ‘스파이아이’는 다른 맬웨어 툴킷과 똑같이 작동한다. 트로이 목마의 일종으로 컴퓨터 사용자가 감염된 웹사이트를 방문하거나 무해한 듯이 보이는 이메일을 열거나 기만적인 팝업 광고를 클릭하면 그 컴퓨터에 다운로드된다. 그렇게 감염된 컴퓨터는 ‘봇넷(botnet)’의 일부가 된다. 외부 해커가 한꺼번에 조종할 수 있는 컴퓨터들을 가리킨다. 자신도 모르게 봇넷의 일부가 된 컴퓨터의 사용자가 자판을 두드리면 그것이 해커가 운영하는 ‘명령 및 제어 서버(command and control server)’에 그대로 전해진다.

일단 해커가 ‘스파이아이’를 이용해 표적 컴퓨터의 제어권을 확보하면 그것을 통해 저질러지는 범죄는 거의 탐지가 불가능하다. 예를 들어 은행계좌에 온라인으로 접속하는 컴퓨터 사용자는 ‘스파이아이’의 추적을 받을 수 있다. 해커는 그 사용자의 은행계좌에서 자신의 계좌로 송금할 수 있다. 게다가 ‘스파이아이’는 송금이 이뤄진 후에도 사용자의 계좌 잔액에서 표시가 나지 않도록 해준다. 은행 고객은 월별 거래내역서를 확인하거나 은행과 상담해야 도난을 알 수 있다.

트렌드 마이크로에서 카루니가 이끄는 팀은 ‘스파이아이’의 비밀을 풀기 위해 그 프로그램의 사용자와 개발자들을 추적하기 시작했다. 실명과 디지털 확인 데이터를 알아내기 위해서였다. 곧 그들은 ‘스파이아이’ 사업에는 몇몇 큰손이 있다는 것을 확인했다. ‘그리보디먼(Gribodemon)’이나 ‘하더맨(harderman)’ 또는 ‘Bx1’ 등의 가명을 사용하는 사람들이었다. 그러다가 ‘솔저’라는 거물 ‘스파이아이’ 고객이 있다는 것을 알아냈다.

“합법적인 일은 넌더리가 난다”그리보디먼과 하더맨은 둘 다 ‘스파이아이’ 개발자 파닌의 가명이었다. 파닌과 거래한 해커들은 뉴스위크의 온라인 인터뷰에서 파닌이 잠재 고객들에게 인스턴트 메신저 서비스인 ICQ를 통해 자신에게 연락할 것을 권했다고 말했다. 그의 ICQ 계정은 4571122였다. 그러나 곧 파닌은 해이해져 이메일 계정을 개설하고 다른 메신저 서비스도 이용했다. 그 둘 다 쉽게 추적될 수 있었다. 결국 그 추적은 러시아로 이어졌다. 그는 러시아 트베르에서 살고 있었다.

파닌과 거래한 해커들 대다수는 그의 실명을 알지 못했다. 그러나 그는 고객들과 잡담을 나누면서 경계를 늦췄다. 정체를 숨기려는 사람으로서 또 다른 부주의한 행동을 한 것이다.

예를 들어 2010년 12월 14일 아침 8시 조금 지난 시각, 파닌은 그제로(gzero)라는 해커와 인스턴트 메시지를 주고 받았다. 거기서 파닌은 거듭된 질문에 어쩔 수 없이 자신에 관해 이야기했다. 그제로는 사이버범죄자처럼 보였다. 그 대화가 있고 4개월 뒤 그제로는 한 해커 사이트에 페이팰 계정 1만2000개를 최고 입찰자에게 팔겠다고 매물로 내놓았다. 실제 범죄였는지 정부 요원이나 사설 탐정의 함정 수사였는지 알 길이 없다.

업계 조사 전문가가 입수한 그들 대화의 녹취록에 따르면 그제로는 그리보디먼이라는 ID를 사용하는 파닌이 휴가에서 방금 돌아왔다는 사실을 알고 있었다. 그제로가 휴가에 관해 묻자 파닌은 처음엔 짜증을 내듯이 엉터리 영어로 바쁘다고 불평을 했다. 하지만 그제로는 집요했다.

“이런 질문을 해도 좋을지...”라고 그제로는 입력했다. 파닌은 물음표로 응답했다. “이 일과 합법적인 일 두 가지 다 하는가?” 그제로는 계속 물었다. “아니면 맬웨어 개발만 하는가? 다른 직장도 있다면 어떻게 시간을 내는지 궁금하다.” 파닌의 답변은 영어가 모국어가 아니라는 점을 다시 시사했다. “합법적인 일은 넌더리가 난다(Legit job is sucks, sucks가 동사로 is가 필요 없다)”고 그는 입력했다. 곧 자기 일은 “맬웨어 개발뿐”이라고 덧붙였다.

Bx1(검사에 따르면 본명이 ‘함자 벤델라지’)은 인터넷 곳곳에 자신의 신원을 시사하는 단서를 남겼다. 카루니는 해커들의 게시판과 문자 송수신 주소에 연결된 온라인 증거를 검토하면서 Bx1과 그리보디먼(파닌)이 ‘스파이아이’ 개발을 위해 함께 일하기 시작했다고 판단했다. 원래 그 맬웨어 툴킷의 코드는 파닌이 만들었지만 사업이 커지면서 그는 추가 개발에 필요한 작업을 아웃소싱하기 시작했다.

Bx1의 추적은 쉽지 않았다. 카루니의 팀은 며칠 동안 그를 온라인으로 감시했지만 곧 그는 사라졌다. 그러다가 다시 나타나 자신의 신원에 관한 새로운 단서를 남겼다. 카루니는 이렇게 말했다. “그들이 너무 오만해져 절대 실수하지 않는다고 생각한다. 그래서 결국 경계심을 늦추고 자신에 관한 정보를 더 많이 노출해 정체가 노출되고 말았다.”

신원을 노출하지 않으려고 여러 개의 서버를 사용하더라도 수사관이 일단 그의 위치를 파악하면 그런 사람들은 쉽게 색출될 수 있다. 특히 해커의 배경에 관한 정보가 유용하다. Bx1의 경우, 그가 격분했기 때문에 핵심 정보가 유출됐다. 한 해커 사이트에서 누군가가 하찮은 주제를 두고 그의 지식을 시험하자 그 대응으로 Bx1은 자신이 알제리 출신이며 프랑스어를 하며 모로코에 산다고 말했다. 대수롭지 않을지 모르지만 확인만 된다면 용의자의 범위를 크게 축소할 수 있는 정보다.

강도를 강탈하다카루니는 몇 달 동안 노력한 끝에 그리보디먼과 Bx1에 관한 충분한 정보를 얻었다고 판단하고 그 정보를 FBI에 넘겨주었다. 그렇다고 트렌드 마이크로가 조사를 중단한 건 아니었다. 그들은 사이버범죄자들을 계속 추적하면서 추가로 알아낸 모든 정보를 FBI에 전달했다.

2010년 6월 29일 파닌은 가명 여러 개 중 하나를 사용해 해커 포럼 darkode.com에 광고를 냈다. 그가 6개월 전 가입한 포럼이었다. “스파이아이 - 은행 트로이 목마로 정보 입수 가능성 있음.” 은행 정보를 훔칠 수 있는 맬웨어를 판매한다는 뜻이었다. 며칠 뒤 Bx1은 그 포럼에서 ‘스파이아이’를 광고하는 해커와 거래를 한 적이 있으며 그를 보증할 수 있다는 댓글을 달았다. 수사관들이 몇 달 동안 지켜보는 동안 ‘스파이아이’의 주문이 쇄도하기 시작했다.

2011년 7월 6일. 파닌은 그 날도 여느 날과 다름이 없다고 생각했다. 온라인 고객이 그에게 접근해 ‘스파이아이’를 구입할 의사를 전했다. 협상 끝에 고객은 기본 프로그램과 몇 가지 추가 가능을 합해 8500달러에 ‘스파이아이’를 구입하기로 합의했다. 그 고객은 파닌이 지정한 리버티 리저브 계좌에 송금했다. 불법 활동과 연루됐다는 혐의로 지난해 폐쇄된 온라인 디지털 통화 서비스다. 그런 다음 파닌은 ‘스파이아이’ 프로그램을 대용량 전송 서비스 사이트 sendsapce.com을 통해 전송했다. 그러나 그 고객은 위장 수사요원이었다.

그때쯤 파닌의 사업 자체도 해커 세계에서 공격을 받고 있었다. 그 몇 달 전 프랑스인 해커 자이리톨(Xylitol)이 파닌의 ‘스파이아이’ 사업을 망치기 시작했다. 부모와 함께 사는 무직자인 자이리톨은 대다수 상업용 소프트웨어 상품에 내재된 복제 방지 기술을 ‘크래킹’하는 해적 사업의 주요 인물로 부상했다. 그러다가 자이리톨은 그 기술을 이용해 ‘스파이아이’의 복제 방지 코드를 무력화하는 데 성공했다. 이제 누구라도 그 크라임웨어를 구입해 계속 복제할 수 있게 됐다. 강도를 강탈하는 셈이었다.

해커 사이트에 무료 ‘스파이아이’가 등장하자 파닌은 신속히 제품을 업데이트해 사업을 계속하려 했다. 그는 자신의 뜻대로 되리라 생각했다. 웹 브라우저 업체들이’스파이아이’를 차단하기 위해 코드의 취약점을 보완했기 때문에 ‘스파이아이’의 업데이트 버전은 그런 보안 기술을 우회할 수 있는 새로운 코드를 추가했다. 그러나 새로운 버전이 나오기 무섭게 자이리톨이 또 크래킹해 최신 ‘스파이아이’ 프로그램이 계속 인터넷에 무료로 올려졌다.

좁혀진 수사망2011년 가을 파닌은 자이리톨과의 술래잡기 게임에 지쳤다. 그는 고객들에게 완전히 새로운 ‘스파이아이’를 개발하겠다고 약속했다. 그 선언 직후 파닌은 온라인에서 사라졌다. 12월이 돼도 새 버전은 나오지 않았다. 일부 고객들이 그와 연락하려 했지만 소용 없었다. 그는 인스턴트 메신저 서비스 계정을 폐쇄했고 그와 함께 ‘스파이아이’ 개발에 참여한 사람들에게 이메일을 보내도 회신이 없었다.

해커계에 소문이 떠돌았다. 그리보디먼이나 하더맨으로 알려진 파닌이 죽었을지 모른다거나 체포됐을지 모른다는 소문이었다. 원래 해커들은 아주 예민한 부류다. 체포 같은 이야기가 떠돌면 그들은 곧바로 자취를 감춘다. 미국 조지아주 애틀랜타의 컴퓨터 네트워크 보안회사 댐발라(Damballa)가 조사한 바에 따르면 파닌의 주요 고객들은 이제 ‘스파이아이’를 포기하고 다른 프로그램을 사용하기 시작했다. 그해 12월의 거의 하룻밤 사이에 ‘스파이아이’를 사용하던 주요 고객 중 네 명이 파닌의 프로그램 대신 제우스의 변종을 사용하기 시작했다.

몇 달 뒤 파닌에게 더 나쁜 소식이 나왔다. 2012년 3월 12일 마이크로소프트는 파닌의 계정으로 의심되는 모든 이메일 주소로 소송 소환장을 보냈다. ‘스파이아이’는 마이크로소프트 윈도 운영체제를 사용하는 컴퓨터를 공격하도록 고안됐기 때문이었다. 파닌이 구축했던 세계가 무너지기 시작했다. 영국, 네덜란드, 호주의 법집행 기관들과 인터폴, 그리고 수많은 공공·민간 조사단체들이 그의 실명과 소재를 파악하고 그를 체포하기 위해 나섰다.

2013년 1월 FBI는 Bx1으로 확인된 벤델라지가 가족과 함께 말레이시아에서 태국 방콕을 거쳐 이집트로 여행하려 한다는 정보를 입수했다. FBI는 태국 경찰에 지명수배자 벤델라지가 곧 방콕의 수완나품 공항에 도착한다고 통지했다. 태국 경찰이 도착한 비행기에 탑승해 벤델라지를 체포했다. 그는 미소를 띠며 비행기에서 끌려 나왔다. 경찰이 주선한 기자회견에서도 그는 끊임없이 미소를 지었다. 그래서 그에겐 ‘해피 해커’라는 별명이 붙었다.

태국 경찰은 벤델라지를 미국 애틀랜타로 이송했다. 그가 체포된 시점에 미국 검사들은 파닌에 대한 체포영장도 받아냈다. 벤델라지의 체포와 그가 Bx1이라는 소식이 해커 포럼에 전해지면서 격분이 일었다. 그의 동포 중 몇 명은 ‘함자 해방’이라는 제목을 붙인 페이스북 사이트를 개설했다. 약 2400명이 지지를 표명했다. 그해 5월 그가 무죄를 주장하자 해커들의 지지가 더 늘어났다.

벤델라지가 휴가 중 체포됐다는 소식과 자신에 대한 체포영장이 발부됐다는 소식에도 파닌은 ‘잡을 테면 잡아 봐’라고 생각한 듯했다. 그도 2013년 여름 러시아에서 도미니카 공화국으로 휴가 여행을 떠나기로 했다. 파닌은 몰랐지만 인터폴은 이미 그에 관한 ‘경보’를 내린 상태였다.

파닌이 도미니카 공화국에 도착하자 그곳 관리들은 그가 수배자라는 사실을 알았다. 그들은 인터폴과 미국 당국에 조회한 뒤 그를 구금했다. 처음엔 입국 서류에 문제가 있다고 했다. 그러나 곧 그는 애틀랜타행 비행기에 태워졌고 내리자마자 수감됐다.

“그들은 멈추지 않는다”파닌이 지난 1월 유죄를 인정할 때쯤 ‘스파이아이’ 시장은 이미 사라지고 없었다. 그러나 사이버범죄자들은 은행계좌와 개인 정보 훔치기를 중단하지 않았다. 그들은 ‘스파이아이’ 대신 ‘아이스9(Ice IX)’ ‘시타델(Citadel)’ ‘안드로메다(Andromeda)’ 같은 맬웨어로 옮겨 탔다. 그런 프로그램들이 ‘스파이아이’만큼 강력하진 않지만 전문가들에 따르면 갈수록 더욱 정교해지고 있다.

파닌 개인은 이제 끝장났을지 모르지만 그가 사상 유례 없이 위협적인 맬웨어를 통해 새로운 차원으로 올린 불법 사업은 결코 사라지지 않을 것이다. “그들은 멈추지 않는다”고 카루니가 말했다. “수익성이 좋은 시장이다. 범법자들이 그런 시장을 그냥 둘 리 없다.”