세계적으로 40만명 넘는 피해자를 낸 악성코드 서비스 플랫폼이 발견됐다. 일정 사용료를 내면 컴퓨터 관련 전문 지식 없이도 사이버 범죄를 저지를 수 있는 도구다. 여러 버전으로 변조, 다양한 공격에 사용됐다. 해당 서비스 플랫폼과 관련 악성코드는 여전히 활동 중이다.
카스퍼스키랩은 15일 다양한 플랫폼을 지원하는 다기능 악성코드 ‘애드윈드 원격 액세스 도구(Adwind RAT)’ 연구 조사 결과를 발표했다.
애드윈드 RAT는 공격자가 구매해 사용하는 자바 기반 백도어 프로그램이다. 윈도, OS엑스, 리눅스, 안드로이드 등이 대상이다. 주요 기능은 윈격 데스크톱 제어와 데이터 수집·유출 등이다. 여타 악성코드와 달리 유료 서비스 형태로 공개 유포되는 점이 특징이다.
범죄자가 악성코드 사용 대가로 사용료를 지불한다는 의미다. 2015년 말 기준 악성코드 시스템 사용자는 1800여명에 달하는 것으로 추정된다.
표적 사용자가 스피어 피싱 메일 등에 첨부된 악성 JAR 파일을 열면 악성코드가 자동 설치, 명령제어(C&C)서버와 통신을 시도한다. 주로 대량 스팸 공격이 이뤄지지만 표적형 공격에 사용된 사례도 있다. 지난해 1월 살해된 아르헨티나 감찰관 사이버 스파이 행위가 뉴스에 등장했다. 싱가포르 한 은행도 표적 공격을 받았다.
카스퍼스키랩 연구진은 2013년부터 최근까지 애드윈드 악성코드 유포로 스피어 피싱 공격을 실행한 사례 200개 가량을 분석했다. 정부와 금융뿐만 아니라 제조, 엔지니어링, 설계, 소매, 운송, 통신, 소프트에어, 교육, 식품생산, 의료, 미디어, 에너지 등 광범위한 대상이 표적이 됐다.
피해자 49%가 아랍에미리트, 독일, 인도, 미국, 이탈리아, 러시아, 베트남, 홍콩, 터키, 대만 등 10개국에 거주했다.
연구진은 식별된 표적 프로필을 바탕으로 애드윈드 플랫폼 구매자를 분류했다. 보다 복잡하고 정교한 사기 행위를 위해 악성 코드를 사용하는 사기꾼, 부정한 방법을 사용하는 경쟁업체, 고용되어 스파이 행위를 하는 사이버 용병, 주변 사람들의 사생활을 엿보려는 개인 등으로 나뉘었다.
이창훈 카스퍼스키랩코리아 지사장은 “애드윈드 플랫폼은 사이버 공격 전문 지식 없이도 범죄를 저지를 수 있게 한다”며 “싱가포르 은행 공격을 조사한 결과 공격 배후 범죄자는 전문적 해커가 아니었으며 애드윈드 플랫폼 ‘고객’ 대부분이 컴퓨터 사용에 전문성이 없는 수준으로 보인다”고 말했다.
박정은기자 jepark@etnews.com
