사이버 범죄 기업화가 위험 수위다. 지난해 자금과 조직력을 갖춘 범죄 조직이 사이버테러 주범이었다. 각종 관계를 활용하고 협업하면서 팀 체제에서 업무를 배정해 기업처럼 운영했다.
한국IBM은 29일 `2016년 IBM X-포스 보안 동향 및 위험 보고서`에서 사이버 범죄 기업화를 경고했다. 주요 사건을 조사한 결과 발견된 악성코드는 전례 없는 형태로 모듈화했다. 모드POS 악성코드와 랜섬32 등은 다중 플랫폼 배포가 가능한 자바스크립트 기반이다. 뛰어난 투자 수익률(ROI)로 범죄 조직 자금과 고급 인력이 디지털 범죄 세계로 몰려들었다. 동유럽을 근거지로 하는 조직은 사이버 범죄에 필요한 물품을 공급하는 비밀 서비스 업체와 손잡았다. `CaaS(Crimeware as a Service)`다. 범죄조직끼리 협업이나 관계를 맺고 다른 조직 인프라를 대여해 사용했다.
사이버 범죄자 평균연령은 35세로 상당한 경험을 가진 세대다. 특히 80% 전문 해커는 조직 범죄에 연루됐다. 실제로 악성코드 작동 방식을 보면 체계와 질서를 갖추고 전문 프로그래밍 기술뿐만 아니라 변경 추적, 버전 관리, 애플리케이션 보안 등 전문 개발 프로세스까지 구현했다.
지난해 발생한 금융 악성코드 다이어(Dyre), 시퓨(Shifu), 드라이덱스(Dridex), 코어봇(Corebot), URL존2는 모두 하나의 집단이 관여했다. 악성코드 운용자는 새로운 지역마다 준비 단계를 거쳐 현지화해 공격 구성 요소를 변경했다. 사회공학 전술을 위해 해당 지역 이메일 주소를 구입하고 스팸 유포 수단을 확보했다. 현지 은행 인증 요건을 연구하고 거래 흐름을 알아냈다. 즉시 이용 가능한 현지 자금 운반책도 확보했다.
사이버 공격을 감행하고 기업에 돈을 뜯어내는 협박도 늘었다. 지난해 DDoS 공격은 100Gbps를 상회하는 건수가 늘었다. 심지어 600Gbps를 초과하는 공격이 보고됐다. 국내 은행에 공격을 가한 DD4BC를 비롯해 아마다 콜렉티브(Armada Collective) 등이 기업을 표적으로 DDoS 공격을 하고 비트코인을 요구했다.
최종 사용자를 겨냥한 랜섬웨어 성공은 새로운 사이버 갈취 유형이 발전한 토대였다. 이성교제사이트나 메인스트림 미디어 등 방문자가 수백만 명이 넘는 웹사이트에 랜섬웨어나 악성코드를 삽입해 최종 사용자를 감염시킨다. 맬버타이징(Malvertising) 공격이다. 악성광고는 초기 분석 단계에서는 적법하고 안전하게 보인다. 하지만 일단 게시되면 방문자를 감염시키고 유해한 서버로 연결해 공격 도구에 노출시킨다. 보안에 부실한 PC는 이런 공격에 속수무책이어서 사이트 방문만으로 악성코드에 감염된다.
사이버 범죄자는 의료기록과 정보 탈취에 열을 올렸다. 유출된 의료 기록당 손실은 363달러로 기타 업종 손실액 154달러보다 두 배 많았다.
지난해 가장 사이버 공격을 많이 받은 업종은 컴퓨터서비스 기업(30.2%)이다. 유통(14.7%), 의료(9.2%), 미디어 및 엔터테인먼트(8.5%), 금융(7.7%)이 뒤를 이었다.
의료 정보 외에 개인 성적 취향이나 배우자 부정 등 성인 웹사이트 정보도 표적이다. 2015년 데이터 유출 사고 총 비용은 평균 379만달러로 2014년 352만달러보다 늘었다.
지난해에는 온오프라인을 넘나드는 공격이 현실화했다. 우크라니아에서 사이버공격으로 전기 공급이 중단돼 수천 명이 불편을 겪었다. 지난 6월 폴란드 항공사는 분산서비스거부(DDoS) 공격을 받아 비행 일정 시스템이 장애를 일으켰고 이륙 관련 데이터에 접근하지 못해 비행기 운행에 영향을 받았다.
김인순 보안 전문기자 insoon@etnews.com