국내 서버 741개가 해킹돼 접속 권한이 러시아계 사이버 암시장에 거래되는 것으로 나타났다. 해킹된 서버 접속 권한 가격은 단돈 6달러 수준이다. 정부 기관과 기업, 대학 등이 포함된 서버 소유자 측에서는 접속 권한 유출 사실을 전혀 알아차리지 못해 피해가 우려된다.
카스퍼스키랩(한국지사장 이창훈)은 16일 러시아어를 구사하는 조직에서 운영하는 것으로 알려진 웹사이트 `엑스데딕(xDedic)`에 현재 해킹된 원격 데스크톱 프로토콜(RDP) 서버 7만624개가 판매 목록에 올라왔다고 밝혔다.
서버 대부분은 널리 사용되는 일반 공개 웹사이트를 호스팅하거나 웹 서비스를 제공하는 곳이다. 광고 메일, 재무 회계, 판매시점정보관리시스템(POS) 처리용 소프트웨어가 설치된 서버도 확인됐다. 해킹된 서버는 주로 서버 소유자 인프라를 표적으로 하는 공격이나 좀 더 광범위한 공격을 위한 거점으로 사용된다.
엑스데딕 웹사이트는 새로운 사이버 암시장 유형을 대표한다. 체계적 조직과 안정적인 기술 지원을 바탕으로 한다. 초보 단계 사이버 범죄자부터 지능형지속위협(APT) 공격 조직에 이르기까지 다양한 유형 범죄자에게 서버 접속 권한을 저렴한 가격으로 빠르게 공급한다.
카스퍼스키랩은 유럽 한 인터넷서비스공급자(ISP)로부터 엑스데딕 웹사이트 존재 사실을 제보 받아 함께 조사를 진행했다. 서버가 거래되는 가격은 6달러부터 시작하며 APT 공격과 악성코드 유포, 디도스 공격, 피싱, 사회공학적 공격 기법, 애드웨어 등 다양한 공격 발판으로 활용된다.
지난 2014년 웹사이트가 시작된 것으로 추정된다. 2015년 중반 이후 사용자 수가 대폭 증가해 2016년 5월 기준 각기 다른 판매자 이름으로 416명이 173개국 7만여개 서버를 거래용으로 등록했다. 피해를 입은 상위 10개 국가는 브라질, 중국, 러시아, 인도, 스페인, 이탈리아, 프랑스, 호주, 남아프리카, 말레이시아 등이다. 한국은 30위를 기록했다.
이창훈 카스퍼스키랩코리아 지사장은 “상업적 시스템과 거래 플랫폼 등장으로 서비스형 사이버 범죄가 점점 더 확산됨을 보여주는 단적인 증거”라며 “기술 수준이 낮은 해커부터 국가적 지원을 받는 APT 공격 조직까지 모든 유형 범죄자에게 저렴한 비용으로 쉽고 빠르게 공격을 실행하는 길을 열어준 셈”이라고 말했다.
박정은기자 jepark@etnews.com
