트렌드마이크로(지사장 김진광)는 5일 사이버 범죄 조직 보고서 ‘사이버 범죄 기업의 내부’를 발표했다.

보고서에 따르면, 일반적인 대규모 조직은 운영 비용의 80%를 임금에 할당하며, 소규모 범죄 조직도 78%로 비슷하게 높은 수준을 보인다. 기타 일반 비용으로는 서버, 라우터, VPN 등 인프라와 가상 머신, 소프트웨어 등이 있다.

트렌드마이크로는 수사 기관과 내부자 정보를 통해 대부분의 데이터를 수집하고, 크기에 따라 세가지 유형의 조직을 설명했다.

◇소규모 범죄 조직(예-안티바이러스 탐지 여부 제공 서비스 Scan4You)

▴일반적으로 한 단계의 경영 계층이 존재하며 직원 수 5명 이내로 50만 달러 미만의 연간 매출을 유지한다.

▴한 구성원이 여러가지 업무를 처리하며, 본업을 가지고 있다.

▴사이버 범죄 조직 대부분이 이에 해당하며, 다른 범죄 조직과 자주 협력한다.

◇중간 규모 범죄 조직(예-불법 호스팅 서비스 MaxDedi)

▴일반적으로 두 단계의 경영 계층이 존재하며 직원 수 6-49명 내외로 최대 5천만 달러의 연간 매출을 유지한다.

▴대개 피라미드 형태의 계층적 구조를 가지며 단일 책임자가 있다.

◇대규모 범죄 조직(예-랜섬웨어 조직 Conti)

▴일반적으로 세 단계의 경영 계층이 존재하며 직원 수 50명 이상으로 5천만 달러 이상의 연간 매출을 유지한다.

▴하위 관리자 및 감독자의 수가 비교적 많다.

▴효과적인 OPSEC(운영 보안)을 구현하며 다른 범죄 조직과 파트너 관계를 유지한다.

▴풍부한 경력의 사이버 범죄자가 책임자를 맡으며, 단기 계약직을 포함해 개발, 행정, 침투 테스트 담당 등을 다수 고용한다.

▴IT, HR 등 기업과 유사한 부서가 있거나 성과 평가와 같은 직원 프로그램을 운영하는 경우도 존재한다.

트렌드마이크로 존 클레이(Jon Clay) 위협 인텔리전스 부사장은 "사이버 범죄 조직은 구성원과 수익이 증가함에 따라 점차 복잡해지고, 합법적인 비즈니스를 모방하며 빠르게 전문화되고 있다. 이러한 성장과 동시에 사내 정치, 저성과자, 신뢰 문제 등을 겪으며 관리에 어려움을 겪기도 한다”며 “트렌드마이크로의 이번 보고서는 사이버 범죄 조직의 규모에 따른 특징을 전해 범죄 수사 시 조직 규모 파악의 중요성을 다시 한번 제고한다”라고 말했다.

보고서는 수사 시 사이버 범죄 조직의 규모와 복잡성을 파악함으로써 어떤 유형의 데이터를 추적해야 하는지 등의 중요한 단서를 확보할 수 있다고 전한다. 예를 들어, 대규모 범죄 조직을 수사할 경우 직원 명단, 재무 보고서, 회사 안내서 및 입문서, 합병 및 인수 문서, 직원 암호화폐 지갑 정보, 더 나아가 공유 캘린더와 같은 데이터를 추적 대상으로 삼을 수 있다.

또한 사이버 범죄 조직 규모에 따라 수사 효과를 극대화할 수 있는 조직을 먼저 확보하는 등 우선 순위를 정해 효율적이 수사를 진행할 수 있다.

한편 트렌드마이크로 보고서 전문은 트렌드마이크로 웹사이트에서 확인 가능하다.

★정보보안 대표 미디어 데일리시큐!