“사이버 범죄” 갈수록 조직화된다

불법적인 활동을 통해 돈을 버는 곳에는 항상 조직화된 범죄가 있다. 따라서 사이버 범죄에서 여러 형태의 범죄 집단 조직이 기승을 부리는 것도 놀라운 일은 아니다.

그러나 디지털 조직범죄의 규모가 얼마나 되는지, 그리고 이것이 방어 전략의 변경이 필요할 만큼 사이버 범죄의 질적 차이를 유발하는지는 명확하지 않다.

조직범죄 비율을 추산하기는 사실 어려울 수밖에 없다. 범죄자는 당연히 잡히는 것을 원하지 않으므로 수사 기관의 눈을 피하는데 전력하기 때문이다.

대부분 전문가는 조직범죄의 비중이 과거보다 더 커졌다는 데 동의하고 있다. 사이버 범죄는 갈수록 조직화되고, 많은 경우 조직도와 정식 경영진과 심지어 인사부서까지 갖춘, 합법적인 사업체의 모양새를 갖췄다.

최근 RAND 코퍼레이션(RAND Corporation)의 국가 보안 연구 부서가 후원한 논문 '사이버 범죄 도구 및 도난 데이터 시장'은 사이버 범죄 시장 규모가 커지는 것은 “한때 단순한 자만심과 악명을 떨치고자 하는 욕구를 충족하고자 했던 각 개인의 네트워크에 불과했던 해커 시장이 이제는 고도로 조직화되고 치밀한 집단이 활동하는 무대로 부상했기 때문”이라고 밝혔다.

이 논문의 저자이자 글로벌 보안 전략가인 마크 굿맨은 최근 인터뷰에서 해커라고 하면 과거에는 “부모님 집의 지하실에서 생활하는 17살짜리 소년”을 연상했지만, 현재 사이버 범죄자의 평균 연령은 35세이며, 범죄를 저지르는 해커의 80%는 조직범죄와 연관되어 있다고 말했다.


굿맨은 “즉 이제 해커는 하나의 직업으로 각광받고 있다”며, “이는 급진적인 변화이며 그 결과로 합법적인 기업의 전문성과 규율, 구조를 모방한 더욱 치밀한 범죄 조직이 만들어지고 있다”고 말했다.
80%라는 수치에는 논란의 여지가 있다. 굿맨은 RAND 논문의 수치를 인용했는데, 이 논문에는 ‘다른 출처에서는 범죄 조직에 의한 사이버 범죄 비율이 20%이며 70%는 “개인 또는 소규모 그룹”에 의해 이루어진다고 추산했다’는 참고 사항이 포함되어 있다. 즉, 수치의 정확성을 보장할 수 없는 상황이다.

카네기 멜론 대학 소프트웨어 공학부의 CERT 부문 수석 엔지니어인 마티 린드너에 따르면 공격자가 조직화된 범죄 집단이든 개별적으로 활동하는 프리랜서든 네트워크 방어자 입장에서는 크게 달라질 부분은 없다.

린드너는 “조직범죄든 아니든 사용하는 도구는 동일하다. 즉, 조직화된 범죄 집단이나 개별적인 공격자나 구매하는 공격 도구는 똑같다는 점이 흥미로운 부분”이라고 말했다.

BAE 시스템즈 어플라이드 인텔리전스(BAE Systems Applied Intelligence)의 미주 대표인 짐 앤더슨도 모두가 동일한 도구를 사용할 수 있다는 데 동의했다.

앤더슨은 “웹 사이트에서 누구나 구매할 수 있는 ‘스타터 키트’에는 초보자가 처음 범죄 행위를 시도할 때 사용할 수 있는 악성 코드가 포함되어 있다”고 말했다.

그러나 앤더슨은 “지금은 비조직적 디지털 범죄란 없다. 범죄가 조직화되면서 디지털 범죄는 계속 발전하고 그 규모도 더 확대되고 있다”고 말했다.

앤더슨은 정보 공유가 이러한 디지털 범죄 발전의 일부라고 지적하며 “범죄 활동에서 정보가 활발히 공유되면서, 예를 들어 전세계의 금융 기관에 잠입한 여러 악당들이 은행 하나를 순식간에 복제할 수 있게 됐다”고 말했다.

물론 사이버 범죄에는 다양한 계층이 존재하며 그중에서는 사조직이 아닌 경우도 있다.
각 국가는 단순히 돈을 버는 것보다는 정치적, 경제적 첩보 활동을 중요시하는데, 정부 비밀과 지적 재산, 정부 직원의 개인 정보를 훔치는 것에 주력하는 것이다. 최근 미국 정부 인사국을 상대로 한 해킹이 그 예다. 이 해킹으로 최대 1,400만 명의 전/현직 연방 직원의 정보가 유출된 것으로 알려졌는데, 중국 해커 집단이 유력한 용의자로 거론되고 있다.

한편 돈을 버는 데 주력하는 범죄 조직이 사이버 공간으로 유입되는 이유는 명확하다. 사이버 공간에 돈이 몰리기 때문이다.

베라코드(Veracode)의 엔터프라이즈 보안 전략 담당 부사장인 필 네레이는 “범죄 조직은 마약 밀매나 매춘 같은 기존 범죄 행태와 비교하면 사이버 범죄가 훨씬 더 쉽고 덜 위험하다는 사실을 인지하고 있다”고 말했다.

지금의 디지털 범죄 조직이 영화 “대부”에 묘사된 과거의 조직과 다른 점도 여기에 있다.

린드너는 “사이버 범죄에도 폭력성은 여전히 잠재되어 있다”며, “조직범죄 집단은 수입을 늘리기 위해 상대 조직을 제거하고는 한다. 사이버 범죄에서도 누군가 이들의 사업을 방해한다면 언제든 폭력적 행동에 나설 수 있다”고 말했다.

다만 여기서 폭력적 행동이란 약 10년 전 스팸 발송자를 퇴출하려던 블루 시큐리티(Blue Security)가 받은 대규모 DDoS 공격과 같은 형태를 띠는 경우가 많다.

이 '공격'에서는 누가 총에 피살되거나 하는 일은 없었다. 린드너는 “제거한다는 개념이 다른 것”이라고 말했다.

린드너는 또 다른 점으로 기존 범죄 조직의 경우 자유롭게 활동하기 위해서는 경찰을 매수해야 했다는 점을 꼽았다. 린드너는 “과거의 조직범죄는 지역적으로 활동했기 때문이다. 그러나 인터넷 세계에서는 경찰에 대한 두려움이 없다”고 말했다.

앤더슨은 범죄 조직이 경쟁 조직원을 살해하거나 지역 사업체들로부터 '상납금'을 요구하지 않는다고 해서 이들의 활동이 폭력으로 이어지지 않는다는 뜻은 아니라고 경고했다.

앤더슨은 “이들이 벌어들이는 돈이 어디로 가서 어떤 활동에 쓰이는지에 대해 많은 우려가 있다”며, “테러리스트 그룹의 수입을 제한하기 위해 금융 기관에 대한 다양한 돈세탁 방지법이 시행되고 있다”고 말했다.

치밀하게 조직화된 범죄에 어떻게 대처하고 방어해야 할지는 앞으로도 계속 논의가 필요한 부분이다.

미국 오바마 대통령은 지난 2월 사설 부문과 공공 부문 간의 정보 공유에 대한 행정 명령을 공포하면서 이를 “사이버 보안을 위한 필수 요소”로 언급했다.

앤더슨을 비롯한 많은 전문가도 같은 생각이다. 앤더슨은 “사법 기관과 보안 업체, 그리고 기업은 공격자의 도구, 기법, 공격 절차에 대한 정보를 최대한 신속하게 공유하고 범죄 조직들과 마찬가지로 긴밀하게 상호 협력해야 한다”고 말했다.

린드너 역시 “악의적 활동에 대한 정보를 공유하면 더 효과적인 방어가 가능하다”고 말했다.

그러나 린드너는 문제는 생각보다 복잡하다면서 “예를 들어 어떤 IP 주소가 불량 주소임을 안다고 하자. 여러 곳에서 이 정보의 공유를 요청할 것이다. 그러나 실제로 내가 공유하는 이 정보가 누구의 손에 들어가서 어떻게 보호되는지 알지 못한다면 이 정보가 노출될 가능성도 배제할 수 없다”고 말했다.

린드너는 “또한 상대방에게도 내가 공유한 정보를 활용할 수 있는 도구를 가졌는지를 알 수가 없다. 이런 것들이 중요한 문제”라고 덧붙였다.

린드너는 먼저 해결해야 할 다른 문제들이 있다면서, “공유에 대해 논하기 전에 먼저 공격을 어렵게 하기 위한 모범 사례와 강력한 아키텍처를 구축할 필요가 있다”고 말했다. 이어 “정보의 가치에 대한 교육도 필요하다. 젊은 세대와 이전 세대는 개인정보보호에 대해 서로 다르게 반응하기 때문”이라고 강조했다. editor@itworld.co.kr