국내 주요기관 290곳 정보탈취형 악성코드 감염..다크웹 찾은 사연

김현아 기자I 2020.07.21 11:51:05

국내 스타트업 에스투더블유랩이 발견
사이버 범죄 온상 다크웹에서 감염자 정보 웹사이트 첫 발견
다크웹 추적기술 보유..수사기관에 통보
290여 PC 감염..악성코드 감염시 입력정보 및 계정 정보 탈취

[이데일리 김현아 기자]한국원자력안전기술원(KINS), 한국과학기술정보연구원(KISTI)등에 있는 290여대 PC가 정보탈취형 악성코드인 ‘폼북’에 노출되거나 감염된 것으로 확인됐다. ‘폼북(FormBook)’에 감염되면 해커는 PC에 입력하는 정보를 그대로 탈취할 수 있고 브라우저에 저장된 이메일 등 계정 정보도 가져갈 수 있다,

폼북은 2017년 미국 보안업체 파이어아이가 항공·국방을 노린 악성코드를 발견했다고 발표한 뒤, 우리나라에서는 지난 3월 ‘문재인 대통령 신상정보’라는 파일명으로 유포된 바 있지만, 이번처럼 대규모 감염 사실이 확인되기는 처음이다.

해당 사실을 최초로 확인해 수사기관에 정보를 넘긴 기업은 에스투더블유랩이다. KAIST 정보보호대학원 인력이 주축이 돼 2018년 만들어진 회사로 사이버 위협 빅데이터 분석 솔루션을 개발하고 있다. 수사기관은 에스투더블유랩이 준 정보를 기반으로 290여 곳에 대한 전수조사를 할 예정이다.

▲2017년 미국 보안업체 파이어아이가 발견한 DHL 배송 양식을 딴 폼북 공격 사례(자료=파이어아이)


사이버 범죄 온상 다크웹에서 감염자 정보 웹사이트 발견

다크웹(Dark Web)은 일반 브라우저로는 접근할 수 없는 ‘인터넷 암시장’이다. 암호화된 네트워크에 존재해 특정 브라우저를 통해서만 접근할 수 있다. 다크웹 사이트의 주소는 일반 웹사이트 도메인과 다르며 철저히 숨겨져 있다. 온라인 상거래는 암호화폐(가상자산)를 사용한다.

에스투더블유랩은 7월 중순 다크웹에서 폼북 감염 회사와 기관을 실시간으로 보여주는 사이트를 발견했고, 19일 수사기관에 알렸다.

곽경주 에스투더블유랩 수석연구원은 “저희가 사이트가 개설되자 마자 발견해 감염자 인터넷주소(IP)를 확인했고 기관명을 조회해 확인하고 수사기관에 통보했다”면서 “해당 다크웹 사이트는 범죄자가 운영하는 것으로 추정된다”고 말했다. 그는 “290여대 PC가 폼북에 감염됐는데 나머지 IP는 회사명이 뚜렷하게 안 나타나고 통신사만 나온다. 감염 회사를 알려면 통신사에 요청해야 해서 경찰이나 국정원에서 해야 한다”고 부연했다.

이번 ‘폼북’ 대규모 사건은 수사기관이 포렌식 등을 통해 추가 피해를 막고, 전수 조사를 통해 다른 IP도 확인할 것으로 보인다.

한편 이번에 IP주소로 확인한 폼북 감염 PC가 IP주소의 사명과 반드시 일치하는 건 아니다.

또한 현대오토에버나 롯데정보통신의 경우 악성코드분석시스템에서 검증후 차단해 실제 감염이 이뤄지진 않았다. 악성코드분석시스템은 가상환경에서 시뮬레이션을 하기에 외부에서는 차단해도 감염된 것으로 인지될 수 있다.

삼성SDS의 경우 폼북 감염 IP로 나왔지만 관제 고객사 개인이 당했다. 삼성SDS 관계자는 “삼성SDS가 보안관제 서비스를 하고있는 고객사 사례이다. 고객사 계약직 직원이 감염된 개인 PC를 회사망에 접속하자마자 즉시 탐지 후 차단해 안전하게 사전조치된 건”이라고 말했다.

▲사이버위협 분석업체 에스투더블유랩 로고


감염자 PC정보 올린 해커 심리는

이번에 국내 PC 290여 대를 노출시키거나 감염시킨 ‘폼북’ 감염자 정보를 다크웹에 올린 해커의 심리는 뭘까.

곽경주 연구원은 “빠르게 감염 확대 여부를 보고 싶어 개설했을 수도 있고, ‘폼북’ 판매를 위한 증거자료로 올렸을 수도 있다”며 “‘폼북’은 다크웹에서 판매되는 악성코드여서 우리 악성코드가 잘 동작한다는 걸 (해커가)보여주고 싶어했을 수도 있다”고 말했다.

다크웹 추적기술 보유

인터넷 암시장에서 어떻게 사이트를 발견했을까. 에스투더블유랩은 사용자 추적이 불가능한 다크웹의 등장과 암호화폐 거래 증가로 감지하기 어려워진 사이버 범죄를 추적하고 예측하는 멀티 도메인 데이터 통합, 분석 AI 솔루션을 개발한다.

곽 연구원은 “다크웹 사이트를 빨리 찾은 게 저희 기술력”이라면서 “이를 찾는 게 저희 기술이어서 자세히 말하기는 어렵다”고 했다.

인터폴과도 협력하는 사이버 범죄추적 스타트업

에스투더블유랩은 지난해 6월 인터폴 초청으로 행사에서 솔루션 전시와 강연을 한 걸 계기로 현재 국제 범죄 분석 데이터를 인터폴에 제공하는 공식 협력사로 활약하고 있다.

김민섭 에스투더블유랩 상무는 “인터폴과 국제범죄분석에서 협력하고 경찰 등에 음란물 수사 관련 협조한 부분도 있다”며 “공익적인 목적으로 돕고 있다”고 했다. 사업모델에 대해서는 “기업 및 기관에 맞춤형 사이버 위협 분석 데이터 솔루션을 제공하기도 하고, 암호화폐 자금세탁에 연루된 지갑 및 이상거래 감지 솔루션을 공급하기도 한다”고 설명했다.

에스투더블유랩은

에스투더블유랩은 KAIST 네트워크 보안 전문 연구진을 주축으로 2018년 9월에 설립된 국내 데이터 인텔리전스 스타트업이다.

창업 1년 만에 다크웹과 암호화폐 분석을 주제로 NDSS(The Network and Distributed System Security Symposium), WWW(The Web Conference 2019) 등 권위 있는 학회에서 논문 2건을 발표하고, 국제 특허 3건을 등록하는 등 기술력을 증명해왔다.

중기부 TIPS 프로그램과 데이터산업진흥원 DB스타즈에 선정되기도 했다. 지난 3월 LB인베스트먼트, 스톤브릿지벤처스, 마젤란기술투자로부터 총 35억 원 규모의 시리즈A 투자를 유치했다. 2018년 10월 블루포인트파트너스로부터 시드 투자를 유치한 후 약 1년 5개월 만이다.

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지