출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=95751&page=1&mkind=1&kind= 

클라우드에서 각광받던 서비스 형태의 소프트웨어, 랜섬웨어 등 범죄에도 활용돼
네이버 중고나라의 안전결제 사칭한 사기 확산...한국형 서비스 방식의 사이버 범죄

[보안뉴스 원병철 기자] 최근 클라우드에서 가장 각광받는 서비스 형태가 바로 SaaS(Software as a Service)다. 말 그대로 서비스 형태의 소프트웨어, 즉 돈을 받고 대여해주는 방식인 SaaS는 기존 기업들이 서버와 스토리지부터 앱까지 모두 구입해 운영하던 것에서 점차 부분별로 빌려 쓰는 방식(IaaS와 PaaS)을 넘어 모든 것을 다 서비스로 제공받는 것을 말한다.
 

▲중고나라 안전결제 사칭 사기 자료[이미지=인터넷 캡처]

예를 들어, 인터넷으로 쇼핑몰을 만들어 운영하고 싶은데, 관련 지식과 운영인력이 없다면, 쇼핑몰 구축부터 서버나 네트워크 등은 물론 관리까지 모두 서비스 형태(구입하는 것이 아닌 사용료를 내고 빌리는 방식)로 사용하는 것이 SaaS 방식이다.

모든 것을 스스로 할 수 있는 대기업과 달리 기술이나 인력 등에 한계가 있는 중소기업들은 이러한 SaaS 방식이 반가울 수밖에 없다. 이 때문에 클라우드를 비롯한 소프트웨어 분야에서 SaaS는 최근 각광받고 있으며, 보안 분야에서도 조금씩 사용되고 있다.

실제로 안랩은 SaaS형 중소기업을 위한 보안관리 솔루션 ‘안랩 오피스 시큐리티’를 출시해 보안환경 구축이 어려운 중소기업을 위한 보안 강화에 나섰으며, 모비젠은 클라우드 기반의 빅데이터 솔루션 IRIS SaaS를 선보였다. 포티넷도 포티클라우드 솔루션을 통해 SaaS 클라우드 서비스를 확장했으며, 아톤은 클라우드 기반의 SaaS형 인증 서비스 ‘Trustin’을 출시했다.

최근 늘어난 네이버 중고나라 안전결제 사칭 범죄
문제는 범죄자들도 SaaS를 이용해 범죄를 저지르고 있다는 사실이다. 대표적인 것이 바로 서비스 방식의 랜섬웨어, RaaS(Ransomware as a Service)다. RaaS는 범죄조직이 랜섬웨어를 만든 후에 이를 다른 범죄자들에게 대여해주는 방식이다. 제작자가 만든 랜섬웨어를 돈을 주고 구입한 뒤 공격을 통해 수익을 올리는 이 방식은 특히 피해자가 낸 몸값의 일부가 랜섬웨어 제작자에게 돌아간다. 보안업계에서는 서비스형 랜섬웨어의 등장으로 전문적인 지식이 없어도 공격이 가능해 랜섬웨어 공격이 폭발적으로 증가한 것으로 보고 있다.

대표적인 것이 지난 2018년 1월 등장한 갠드크랩(GandCrab) 랜섬웨어다. 갠드크랩 랜섬웨어 제작자는 2019년 6월 은퇴한다고 발표하면서, 갠드크랩을 사용한 공격에서 20억 달러(당시 약 2조 3천억 원대)를 벌었고, 자신들도 1억 5,000만 달러를 벌었다고 밝혔었다. 즉, 갠드크랩 랜섬웨어를 만든 제작자가 1억 5,000만 달러를 벌었고, 이들이 제공한 랜섬웨어를 이용해 범죄를 저지른 사람들이 총합 20억 달러를 벌었다는 소리다. 이러한 서비스형 랜섬웨어는 갠드크랩 이후에도 ‘소디노키비(Sodinokibi)’나 ‘포보스(Phobos)’, ‘다르마(Dharma)’ 등 꾸준하게 이어지고 있다.

최근 중고나라의 안전결제를 사칭하는 범죄에도 SaaS 방식이 적용되고 있다. 약 1,864만 명의 회원수를 자랑하는 중고나라는 회원 간 직거래 중심의 네이버 카페다. 사용자가 판매하고자 하는 물품의 사진과 상태를 적은 글을 올리면, 그 글을 읽은 구입자가 연락해 구입하는 방식이다. 보통 물건을 직접 확인하고 바로 현금을 주거나 입금해주는 직거래를 선호하지만, 판매자와 구입자의 거리가 멀거나 거래가 가능한 시간대가 맞지 않을 경우, 구입자가 먼저 입금을 한 후 물건을 보내주는 택배 거래도 많다.

문제는 먼저 입금을 받은 후 물건을 보내지 않거나 벽돌 등 엉뚱한 물건을 보내는 사기가 많다는 것. 이 때문에 등장한 것이 바로 안전결제다. 안전결제는 안전결제 업체가 중간에서 판매금액을 받고 판매자가 물건을 발송해 구입자가 확인하면 판매금액을 보내주는 방식이다. 구입자의 택배 사기를 막을 수 있을 뿐만 아니라, 판매자 역시 돈을 떼일 걱정이 없어 많이 사용된다. 초기에는 다양한 안전결제 업체가 있었지만, 네이버가 직접 안전결제를 도입하면서 대부분 네이버 안전결제를 사용한다.

같은 디자인과 같은 주소의 안전결제 사칭 사기...서비스형 사이버범죄로 의심
그런데 최근 가짜 안전결제 페이지를 만들어 사용자들에게 돈을 입금 받아 가로채는 범죄가 늘고 있다. 사기꾼들은 중고나라에 판매할 물품을 올린 뒤, 구입자가 나타나면 바로 안전결제를 이용한 택배거래를 제안한다. 주목할 점은 보통 중고나라에는 판매자의 연락처를 남기도록 되어 있으며, 개인정보 이슈로 전화번호 노출을 꺼리는 사람들에게는 안심번호(임시번호)를 부여하고 있음에도 불구하고 카카오톡 ID를 통해 카카오톡으로만 대화한다.

사기꾼들이 거리나 시간을 이유로 택배거래를 요청하고, 서로 믿을 수 있는 안전결제를 하자고 요청한다. 이어 안전결제 결제창을 링크로 보내주는데, 이때 주소창을 자세하게 보면 ‘pay.naver.cafe-OOO.com/....’로 시작한다. 링크를 클릭해서 들어가 보면 실제 네이버 페이와 비슷하게 만들었기 때문에 대부분의 사람들은 속아 넘어갈 수 있다. 하지만 실제 네이버 페이의 안전결제 주소는 ‘pay.naver.com/...’로 시작한다. 즉, 링크 주소가 가짜인 것이다. 사기꾼이 보내온 링크를 따라가면 우선 로그인하도록 하는데, 이때 1차로 사용자 계정정보를 수집한다. 참고로 아무런 글자로 ID와 패스워드를 입력해도 로그인이 되는데, 이를 이용하면 이게 사기인지 아닌지 알 수 있다.

포털에서 ‘중고나라 안전결제 사기’를 검색하면 상당한 숫자의 관련 글을 볼 수 있다. 우리나라에 중고나라를 이용한 사기꾼들이 이렇게 많았나 하는 생각도 들지만, 더 중요한 것은 이들의 수법이 너무 정교하고 비슷하다는 사실이다. 우선 가짜로 만든 안전결제 페이지가 너무 정교하다. 실제 주소를 제외하고는 디자인이 거의 같아 안전결제를 많이 이용해보지 않은 사람은 속아 넘어갈 수밖에 없을 정도다. 게다가 가짜 안전결제 페이지의 주소가 비슷하다. 대부분 ‘pay.naver.cafe-OOO.com/....’이다. 뒤의 OOO은 숫자로 이뤄져 있다.

그런데 본지가 받은 제보에 따르면 다 비슷한 이유가 있다. 바로 가짜 안전거래 사이트를 만들어 호스팅하는 업체가 있다는 사실이다. 쉽게 말하면, 서비스형 랜섬웨어처럼 서비스형 가짜 안전거래 사이트가 있다는 얘기다. 즉, 1명 혹은 1개의 조직이 가짜 안전거래 사이트를 만든 후, 이를 또 다른 사기꾼에게 대여해 사기를 칠 수 있도록 한다.

이처럼 최근 서비스형 사이버범죄가 늘고 있다. 문제는 이러한 서비스형 사이버범죄는 누구나 손쉽게 사이버범죄를 저지를 수 있도록 한다는 점이다. 게다가 이를 이용한 범죄가 늘어도 정작 범죄를 위해 소프트웨어를 만든 이들은 잡기가 어렵다. 최근 경찰에서 갠드크랩 국내 유포책들을 검거했는데, 실제 이들은 서비스형 랜섬웨어인 갠드크랩을 구입해 한국에서 범죄를 저지른 것일 뿐 갠드크랩을 직접 개발한 이들이 아니다. 이에 사법당국은 이러한 서비스형 사이버범죄에 대한 전문적인 수사와 함께 이에 대한 처벌을 강화해야 한다는 지적이다.

이와 관련 한 보안전문가는 “상용화된 소프트웨어들이 사용자가 좀 더 쉽고 편리하게 사용할 수 있도록 성장하는 것처럼, 범죄 역시 같은 길을 걷고 있다”면서, “이제 누구나 범죄를 쉽게 저지를 수 있는 도구가 늘어난 만큼 이에 대한 대책 마련이 시급하다”고 강조했다.
[원병철 기자(boanone@boannews.com)]