유럽 경찰들이 연합하여 사이버 범죄자들 사이의 통신 도구인 엑스클루를 폐쇄하는 성과를 올렸다. 지난 2년 동안 이 보안성 높은 앱을 뚫고 들어가 충분히 관찰한 뒤 작전을 수행했기 때문에 얻어낼 수 있었던 결과다. 요즘 사법기관들은 메신저 앱들에 관심이 높다.

[보안뉴스 문가용 기자] 이번 주 네덜란드 경찰은 사이버 범죄자들의 메신저 서비스인 엑스클루(Exclu)를 폐쇄시키는 데 성공했다. 네덜란드, 독일, 벨기에 경찰과 공조하여 79곳을 급습했고, 42명의 용의자들을 체포했다. 최근 사법기관들은 범죄자들이 즐겨 사용하는 통신 앱들을 무력화시키는 데에 집중하고 있다고 하는데, 그 첫 결실이 맺어진 것이라고 볼 수 있다.

[보안뉴스 / 2.9.] 이번 주 폐쇄된 범죄 메신저 엑스클루, 사법기관들이 크래킹해 2년 동안 관찰

[이미지 = utoimage]

최근 몇 년 동안 적잖은 사이버 범죄자들과 범죄 조직들이 다크웹에서의 활동을 중단하고 종단간 암호화 기능이 장착된 메신저 앱으로 활동 장소를 바꾸고 있다. 가장 대표적인 건 텔레그램(Telegram), 왓츠앱(WhatsApp), 디스코드(Discord) 등이다. 이러한 현상을 눈치 챈 보안 전문가들과 사법기관들은 다크웹을 감시하는 것만큼 각종 메신저 앱들도 주의 깊게 관찰하기 시작했다. 그러면서 각종 범죄 사례들이 발굴됐다.

엑스클루도 적잖은 시간 동안 사법 요원들이 관찰해 온 통신 채널이었다. 네덜란드 당국에 따르면 약 2년 동안 엑스클루의 개발자, 운영자, 사용자들이 모니터링 됐다고 한다. “사용자들은 약 3천 명 정도 되는데 6개월에 800유로 정도 되는 요금을 내고 엑스클루를 사용하고 있었습니다. 엑스클루는 보안성이 매우 좋은 통신 플랫폼으로, 사용자들끼리 노출의 위험 없이 여러 메시지와 사진 자료, 메모, 영상 등을 공유할 수 있었습니다.”

이번 엑스클루 소탕 작전에 참여한 건 유로폴, 유로저스트라는 국제 조직과 네덜란드, 이탈리아, 스웨덴, 프랑스, 독일의 경찰국이었다. 이들은 연합하여 엑스클루를 크랙했고, 이를 통해 엑스클루에서의 활동 사항을 파악할 수 있었다고 한다. 처음 엑스클루를 발견하여 국제 조직들에 알린 건 독일 경찰이었다. 엑스클루는 텔레그램이나 왓츠앱과 다르게 일반인들에게도 열린 메신저 앱은 아니었다.

메신저 앱과 사이버 범죄자들
지난 주 위협 첩보 분석 업체인 플레어(Flare)는 “2023년 사이버 범죄 행위가 가장 많이 논의 및 공모된 플랫폼은 텔레그램”이라는 조사 결과를 발표했다. 텔레그램의 그룹 기능을 다크웹 포럼처럼 사용하고 있는데, 그 비율이 점점 증가하고 있다는 것이었다. “텔레그램은 종단간 암호화 기능이 잘 갖춰져 있고, 따라서 사법 요원들이 중간자 공격 같은 걸 할 수가 없게 됩니다. 다크웹 포럼에도 암호화 기능이 있긴한데 프리티굿프라이버시(Pretty Good Privacy, PGP)와 같은 추가 도구를 사용해야만 하죠. 편의성 면에서 텔레그램보다 떨어지는 겁니다.”

또 다른 보안 업체 인텔471(Intel471) 역시 지난 여름 비슷한 내용의 연구 결과를 발표한 바 있다. 사이버 범죄자들이 점점 더 텔레그램을 선호하기 시작했다는 내용이었다. “사이버 범죄자들은 익명성을 보호한 채 대화를 이어갈 때 텔레그램이라는 수단을 선호하고 있습니다. 다크웹 포럼에서도 비슷한 행위를 할 수는 있지만 거기에는 관리자라는 자들이 존재합니다. 이들은 포럼에서 오가는 내용들을 다 지켜볼 수 있는데, 그것도 찜찜할 수 있거든요. 텔레그램에는 그런 관리자조차 없으니 편안하죠.”

보안 업체 켈라(KELA)의 경우 텔레그램의 또 다른 면모에 대해 연구해 발표한 바 있다. 범죄자들 간 소통을 위해서만 텔레그램이 활용되는 게 아니라, 텔레그램 그룹과 같은 데서 교류되는 정보를 가로챈 후 이를 활용해 범죄 활동을 저지르는 사례도 많다는 내용이었다. “디스코드에서도 이런 일이 일어납니다만 텔레그램에서 더 활발히 이런 일들이 벌어지고 있습니다. 다른 범죄자들이 대화한 내용과 주고 받은 데이터를 훔쳐 다른 곳에 먼저 판다든지 하는 사건이 벌어지죠. 범죄 모의만 되는 게 아니라 범죄 기획까지도 여기서 발생하는 겁니다.”

그런 활동을 하는 사람들의 경우 텔레그램 봇을 주로 활용하기도 한다. 보안 업체 코펜스(Cofense)의 첩보 분석가인 조 갤롭(Joe Gallop)에 의하면 “텔레그램 봇들은 가격도 저렴하고 사용하기도 쉬워 사이버 범죄자들 사이에서 인기가 높다”고 한다. “텔레그램 봇으로 채널을 개설하고, 사이버 공격을 통해 유출시킨 정보가 이 채널로 옮겨지게 인프라를 구성하는 전략이 2021년과 2022년 사이에 800%나 증가했습니다. 텔레그램 봇이 텔레그램의 인기를 어느 정도 견인했다고 해도 과언이 아닐 정도로 인기가 높습니다. 텔레그램의 범죄 행위들에 텔레그램 봇들이 관여되어 있는 경우가 점점 많아지고 있습니다.”

3줄 요약
1. 세계의 사법기관들, 점점 범죄자들의 통신 채널 감시하기 시작.
2. 그러면서 최근 엑스클루라는 유명 소통 앱이 차단됨.
3. 텔레그램 등 종단간 암호화 기능 갖춘 앱들은 이미 다크웹처럼 활용되고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>