카스퍼스키랩과 러시아에서 가장 큰 은행인 Sberbank, 러시아 사법부와의 긴밀한 공조 수사를 통해 50명의 범죄자를 검거했습니다. 이들은 2011년 이후 은행, 금융 기관 및 여러 기업에 걸쳐 4천 5백만 달러(30억 루블1)에 달하는 피해액을 남긴 악성 코드 유포에 관련된 것으로 추정됩니다. 이번 작전은 러시아 사상 최대 규모의 해커 검거 작전이었습니다.
2011년 카스퍼스키랩은 공격 대상의 컴퓨터에 접근하기 위해 다양한 기능을 가진 정교하며 범용 모듈 방식의 악성 코드인 Lurk 트로이목마를 이용하는 사이버 범죄 활동을 탐지했었습니다. 특히 이 조직은 인터넷뱅킹 서비스에 침투하여 고객의 계좌에서 돈을 탈취하는 데 집중했습니다.
카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “Lurk 트로이목마에 대한 러시아 사법부의 수사 초기부터 카스퍼스키랩의 전문가가 함께 했습니다. 이미 카스퍼스키랩 에서는 기업과 개인 사용자에게 심각한 위협을 가하는 Lurk 공격의 배후에 러시아 해커 조직이 있음을 파악하고 있었습니다. Lurk가 은행 공격을 시작한 것은 1년 6개월 전이었지만, 그 전에도 이 조직은 다양한 기업과 개인 사용자를 대상으로 악성 코드를 유포해왔습니다. 이번 검거 작전은 카스퍼스키랩의 전문가들이 관련 악성 코드를 분석해 해커의 네트워크를 먼저 특정하였으며, 이후 러시아 경찰의 수사를 통해 용의자를 특정하고 그 동안 저지른 범죄의 증거를 수집할 수 있었습니다. 카스퍼스키랩은 앞으로도 사이버 범죄 척결을 위한 지원을 아끼지 않을 것입니다."라고 말했습니다.
검거 작전이 진행되는 동안 러시아 경찰에서 3천만 달러(22억 7천3백만 루블2) 이상의 불법 인출을 막는 성과도 거뒀습니다.
Lurk 트로이목마
악성 코드를 유포하기 위해, Lurk는 유수의 언론사 사이트를 비롯하여 다양한 합법적인 웹사이트를 익스플로잇 공격을 통해 감염시켰습니다. 즉, 사용자가 감염된 웹페이지를 방문하기만 해도 Lurk 트로이목마에 감염되었습니다. 일단, 피해자의 PC에 침투한 악성 코드는 추가 악성 코드 모듈을 다운로드 하여 피해자의 돈을 탈취할 수 있도록 환경을 조성했습니다.
이들이 노린 비 금융권 표적은 언론사에만 국한하지 않았습니다. 해킹이 이용한 VPN 연결의 흔적을 지우기 위해 이들은 여러 IT 및 통신사를 해킹한 후 감염된 서버를 통해 익명으로 접속했습니다.
Lurk 트로이목마의 특이점은 피해자의 컴퓨터에 악성 코드가 저장되는 것이 아니라 RAM에 상주했다는 것입니다. 또한, Lurk 트로이목마의 개발자는 안티 바이러스 솔루션의 탐지를 최대한 피하고자 했습니다. 그래서 서로 다른 VPN 서비스, 익명 Tor 네트워크, 해킹된 IT 조직에 있는 변조된 Wi-Fi 네트워크와 서버를 활용해 추적을 피했습니다.
보안 교육과 정기적인 보안 점검 필요
Lurk 트로이목마의 사례와 같이 사이버 공격의 피해를 당하지 않으려면, 기업의 보안 대책에 특별히 주의를 기울이고 정기적으로 IT 인프라 보안 점검을 실시해야 합니다. 이를 통해 최소한 알려진 취약점에 대한 대비는 가능해지기 때문입니다. 또한 직원들에게 책임감 있는 사이버 행동에 대한 기초적인 보안 교육을 실시하는 것도 매우 중요합니다.
오늘날 만연한 표적형 공격에 대비할 수 있는 보안 대책의 수립도 시급합니다. 가장 좋은 방법은 기업이 보안 위협 탐지와 대응에 적극적으로 투자하여 보안 위협 방지 전략을 보완하는 것입니다. 매우 정교한 표적형 공격이라도 그 기업의 업무 흐름과 비교해보면 비정상적인 활동이 드러나게 마련입니다.
표적형 공격을 탐지하기 위한 카스퍼스키랩의 솔루션에는 이러한 비정상적 활동을 분석하기 위한 인텔리전스 시스템(Kaspersky Anti Targeted Attack 플랫폼)이 포함되어 있습니다.
한편, 카스퍼스키랩은 해당 Lurk 트로이목마를 Trojan.Win32.Lurk, Trojan-Banker.Win32.Lurk, Trojan-Spy.Win32.Lurk를 통해 모두 탐지하고 있습니다.
1,2 러시아 내무부 자료
