글로벌 법 집행 기관, 사이버 범죄 서비스 단속 및 무효화 추진

2024년 1월 9일, 국제 법 집행 기관들은 미국 Department of Justice, 유로폴, 이탈리아, 호주, 프랑스, 독일, 그리스, 이탈리아, 루마니아, 스페인의 기관들이 참여하는 '오퍼레이션 탤런트'의 일환으로 사이버 범죄 마켓플레이스 크랙 앤 널러드의 중단과 해체를 발표했습니다. 

수년간 운영되어 온 이 플랫폼은 도난당한 로그인 인증정보, 크랙 소프트웨어, 해킹 도구, 금융 데이터의 불법 판매를 촉진하여 전 세계 수백만 명의 사이버 범죄자들을 끌어모았습니다. 크랙드에만 400만 명 이상의 사용자가 등록되어 있어 사이버 범죄 관련 상품을 판매하는 가장 큰 불법 마켓플레이스 중 하나였습니다. 법 집행 기관은 플랫폼 자체뿐만 아니라 플랫폼의 운영을 유지하는 기본 인프라, 관리자, 금융 네트워크를 표적으로 삼았습니다.

‍

독일 프랑크푸르트 검찰청의 사이버 범죄 수석 검사 Jana Ringwald는 TRM과의 인터뷰에서 "독일 법 집행 기관과 파트너는 사이버 범죄 행위자로부터 사람들을 보호하기 위해 계속 노력할 것입니다."라고 말했습니다. "이번 수사는 전 세계 법 집행 기관이 어떻게 협력할 수 있는지를 보여주는 사례로, 독일, 미국, 유로폴 당국이 주요 역할을 했지만 이탈리아 당국의 도움과 스페인, 그리스, 루마니아의 기여 없이는 불가능했을 수도 있습니다."

법 집행 기관은 크랙드 앤 널드에 연결된 여러 도메인을 압수하여 마켓플레이스에 대한 접근을 효과적으로 차단했습니다. 이 도메인들은 대량의 도난 데이터와 불법 해킹 도구를 호스팅하여 글로벌 사이버 범죄 생태계의 핵심 노드가 되었습니다. 법 집행 기관은 법원 명령과 국제 영장을 사용하여 호스팅 제공업체가 이러한 사이트를 삭제하도록 강제함으로써 사이버 범죄자들이 활동을 계속할 수 없도록 막았습니다. 

압수된 서버 중 일부에는 상세한 거래 내역, 사용자 기록, 암호화된 통신 로그가 포함되어 있어 수사 당국에 진행 중인 수사에 중요한 증거를 제공했습니다. 이 작전에는 마켓플레이스 관리자와 재무 운영에 대한 추가 정보를 확보하기 위한 물리적 수색과 디지털 포렌식 조사도 포함되었습니다.

크랙드 앤 널레드는 다른 사이버 범죄 서비스와 유사하게 운영됩니다. 크랙드 앤 널레드와 같은 사이버 범죄 서비스는 지하 네트워크와 포럼을 통해 운영되며, 유료 고객에게 불법 도구와 전문 지식을 제공하는데, 주로 서비스형 사이버 범죄(CaaS) 모델을 통해 이루어집니다. 이러한 서비스를 통해 숙련도가 낮은 개인도 정교한 사이버 공격을 실행할 수 있습니다.

이러한 서비스는 사이버 범죄 포럼, 다크넷 마켓플레이스, 텔레그램이나 디스코드 같은 암호화된 메시징 앱에서 판매되며, 주로 가상자산 거래가 이루어집니다 가상자산 실물 및 디지털 상품 판매에 중점을 두는 다크넷 시장과 달리 사이버 범죄 서비스는 주로 구독 기반 또는 수익 공유 계약을 통해 공격 기능 및 사기 도구를 제공합니다. FBI 유로폴을 비롯한 법 집행 기관은 위장 침투, 블록체인 분석, 인프라 압수 등을 통해 이러한 운영을 점점 더 노리고 있지만, 범죄자들은 운영을 분산하고 추적하기 어려운 기술로 전환하는 등 사이버 범죄 경제는 계속 진화하고 있습니다.

최근 사이버 범죄 생태계에서 가장 중요한 사건 중 하나는 2008년부터 활동하며 Conti, ProLock, REvil 등 여러 랜섬웨어 그룹이 사용했던 정교한 봇넷인 Qakbot 대한 FBI 작전입니다. Qakbot 전 세계 수십만 대의 컴퓨터를 감염시켜 사이버 범죄자들에게 손상된 네트워크에 대한 발판을 제공하는 초기 액세스 브로커 역할을 하여 추가적인 랜섬웨어 배포와 금융 사기를 가능하게 했습니다. 

2023년 8월, 미국 및 국제 파트너의 법 집행 기관은 Qakbot인프라에 성공적으로 침투하여 멀웨어에 감염된 컴퓨터를 FBI 서버로 리디렉션하고 봇넷을 효과적으로 해체했습니다. 이 작전의 일환으로 당국은 약 860만 달러의 불법 가상자산 수익금을 압수하여 Qakbot서비스에 의존하는 사이버 범죄 단체의 재정 운영을 방해했습니다. 이번 단속은 전통적인 법 집행 기법과 블록체인 인텔리전스 및 디지털 포렌식을 결합하는 것이 얼마나 효과적인지 보여주었으며, 아무리 탄탄한 사이버 범죄 네트워크도 전 세계의 공조된 단속 노력에 취약하다는 것을 보여줬습니다.

자세한 내용은 TRM이 FBI 함께 진행한 Qakbot 차단에 대한 심층 사례 연구를 여기에서 확인하세요.

법 집행 기관은 인프라 중단과 더불어 크랙 및 무효화를 지속하는 금융 네트워크를 표적으로 삼아 불법 자금을 동결하고 기존 은행 시스템과 가상자산 채널을 통한 거래를 추적했습니다. 수사관들은 블록체인 인텔리전스 도구를 사용하여 디지털 자산의 흐름을 추적하고 사이버 범죄자들이 불법 거래로 얻은 수익금을 보관한 지갑을 파악했습니다. 또한 당국은 결제 처리업체 및 금융 기관과 협력하여 자금을 압류하고 이러한 마켓플레이스와 연결된 향후 거래를 차단했습니다. 이 전략은 크랙드 앤 널레드의 운영 능력을 효과적으로 무력화하여 사이트를 이전하더라도 재건을 위한 재정적 자원이 부족하도록 만들었습니다. 유로폴과 파트너들은 동시에 체포, 심문, 포렌식 분석을 실시하여 플랫폼 운영에 관여한 주요 인물을 파악하고 체포했습니다.

최신 TRM의 암호화폐 범죄 보고서에 따르면 불법 암호화폐 거래량의 전체 비율은 전체 거래의 1% 미만으로 유지되고 있지만 다크넷 마켓플레이스, 랜섬웨어 행위자, 사이버 범죄 조직은 계속 진화하고 있습니다. 모네로와 같은 프라이버시 코인의 사용 증가와 크로스체인 세탁 기술의 채택은 수사관들에게 새로운 도전 과제를 제시하고 있습니다. 크랙드 앤 널레드의 압수수색은 사이버를 이용한 금융 범죄와의 지속적인 싸움에서 중요한 승리를 거둔 것으로, 국제 법 집행 기관이 글로벌 단속 조치를 조정하고 첨단 디지털 포렌식을 활용하며 이러한 운영을 유지하는 재정 자원을 차단함으로써 정교한 사이버 범죄 네트워크를 추적, 방해 및 해체할 수 있는 능력이 향상되고 있음을 입증하는 것입니다.