네덜란드 경찰이 FBI와 국제 연합 법집행 기관의 지원을 받아 정보탈취형 악성코드 레드라인(Redline)과 메타(Meta) 네트워크 인프라를 전면 중단시키는 ‘작전 매그너스(Operation Magnus)’를 성공적으로 수행했다. 이로써 해당 악성코드를 통해 정보를 탈취해 온 사이버 범죄자들에게 경고의 메시지가 전달됐으며, 추가적인 법적 조치가 예고됐다.
네덜란드 경찰은 FBI, 미국 국방부 범죄수사대(NCIS), 유럽연합 사법협력기구(Eurojust), 영국 국가범죄수사국(NCA) 등 다양한 국제 법집행 기관과 협력해 레드라인과 메타의 운영 인프라를 침투하고 네트워크를 차단하는 데 성공했다고 밝혔다. 레드라인과 메타가 동일한 개발자에 의해 운영된 것으로 파악된 가운데, 이들 악성코드는 피해자의 장치에서 비밀번호, 인증 쿠키, SSH 키, 암호화폐 지갑 등 민감한 정보를 탈취하는 데 사용되어 왔다.
이번 조치를 통해 확보된 데이터를 바탕으로 법적 조치가 착수될 예정이며, 네덜란드 경찰은 범죄자들을 겨냥해 경고 메시지를 다크웹 XSS 해킹 포럼에 게시하는 한편, 직접적인 메시지를 전송해 범죄자들의 익명성이 상실됐음을 알렸다.
■ 레드라인과 메타 악성코드의 실체
2020년 처음 등장한 레드라인은 피해자의 비밀번호, 인증 쿠키, 암호화폐 지갑 키 등을 탈취할 수 있는 악성코드로, 그동안 다크 웹을 통해 민감한 데이터를 판매하거나 추가적인 공격에 활용되어 왔다. 이와 유사하게 2022년에 윈도우를 표적으로 출시된 메타는 레드라인의 업그레이드 버전으로 알려져 있으며, 주로 비밀번호와 기타 개인 정보를 탈취하는 데 사용되었다.
이들 악성코드는 텔레그램 봇을 통해 판매되었으며, 이번 조치로 텔레그램 봇이 삭제됨으로써 사이버 범죄에 필요한 지원 인프라가 큰 타격을 입게 되었다.
레드라인과 메타의 운영 인프라가 차단됨에 따라 네덜란드 경찰은 사용자 데이터베이스뿐만 아니라 주요 악성코드 운영 백본을 구성하는 요소들을 압수했다. 압수된 데이터에는 라이선스 서버, REST-API 서비스, 제어 패널, 악성코드 바이너리 및 텔레그램 봇이 포함되어 있으며, 이를 통해 범죄자들이 악성코드를 배포하고 관리하는데 사용된 주요 도구들이 제거되었다. 영국 국가범죄수사국의 폴 포스터(Paul Foster) 부국장은 이러한 ‘범죄 생태계’를 근절하기 위해서는 전 세계적인 협력이 필수적이라고 강조하며, 국제적 공조를 통해 이 같은 차단이 가능했다고 언급했다.
네덜란드 경찰은 이번 작전을 통해 익명성에 의존하던 사이버 범죄자들이 더 이상 안전하지 않음을 경고하고 있다. 과거 이모텟(Emotet) 봇넷이나 레이드포럼(RaidForums) 운영 차단 사례에서와 같이, 네덜란드 경찰은 해킹 포럼을 통해 해당 악성코드 네트워크와 연관된 사람들에게 메시지를 보내고 있다. 범죄와 연관된 사용자들에게는 법적 조치가 임박했음을 알리며 경고 메시지가 발송되었으며, "데이터를 확보했다"라는 내용이 포함되어 있다.
이 같은 경고는 범죄에 연루된 사람들에게 법적 대응이 임박했음을 시사하며, 추가적인 체포와 기소가 이뤄질 것으로 보인다.
최근 몇 년간 정보탈취형 악성코드는 글로벌 기업들에게 심각한 위협으로 부상했다. 악성 이메일, 감염된 웹사이트, 혹은 개발자들이 자주 방문하는 깃허브(GitHub)나 스택오버플로우(StackOverflow) 같은 사이트의 답변에 악성 링크를 삽입하는 방식으로 배포되며, 초기 탐지가 어렵기 때문에 피해가 커지고 있다. 2024년에는 레드라인과 메타 악성코드가 2억 2천7백만 개의 계정 정보를 탈취한 것으로 보고되었으며, 이는 미국 헬스케어 부문을 마비시킨 체인지 헬스케어(Change Healthcare) 랜섬웨어 공격에도 영향을 미친 바 있다.
스펙옵스(Specops)와 크라켄랩스(KrakenLabs)의 공동 보고서에 따르면, 레드라인은 출시 이후 10억 개에 가까운 계정 정보를 탈취했으며, 이는 사이버 범죄자들에게 거대한 데이터 자산을 제공하고 있다. 하지만 이번 인프라 압수로 인해 정보탈취형 공격이 다소 줄어들 것으로 예상되나, 유사한 형태의 악성코드가 새롭게 등장할 가능성이 있다고 전문가들은 경고하고 있다.
사이버 보안 전문가들은 작전 매그너스가 국제적인 공조의 중요성을 입증하는 성공 사례라고 평가하고 있다. 그러나 동시에, 이러한 다크 웹 생태계는 매우 탄력적이라 사이버 범죄자들이 곧 새로운 플랫폼으로 이동하거나 유사한 운영을 시작할 가능성이 높다고 지적했다. 전문가들은 멀티팩터 인증(MFA)을 더욱 강화하고, 엄격한 접근 제어를 통해 계정 탈취 위험을 줄이는 것을 권장하고 있다.
앞으로는 정보탈취형 악성코드가 감지되면 즉시 차단할 수 있는 실시간 위협 인텔리전스가 필요하며, 직원들에게 피싱 공격과 악성코드 감염 위험성을 인식시키는 교육 프로그램이 중요하다고 강조하고 있다. 엔드포인트 보호 조치 강화 또한 효과적인 방안으로 제시되고 있다.
사이버 보안 전문가들이 작전 매그너스의 영향을 분석하는 가운데, 국제적 협력이야말로 사이버 범죄와의 지속적인 싸움에서 중요한 역할을 할 것이라는 메시지가 전달되었다. 이번 인프라 압수는 큰 성과지만, 변화하는 사이버 위협에 대응하기 위해 보안 업계의 지속적인 경계와 기술 혁신이 요구된다고 전문가들은 경고했다.
◆2024 인공지능 보안 컨퍼런스 AIS 2024 개최(보안교육 7시간 이수)◆
-인공지능 기반 보안기술과 보안위협 대응 정보 공유-
-공공, 금융, 기업 정보보호 담당자 700여명 참석예정-
-일 시: 2024년 11월 5일(화) 09:00~17:00
-장 소: 더케이호텔서울 2층 가야금홀
-주 최: 데일리시큐
-참석대상: 정부, 공공, 금융, 기업 정보보호 담당자만 참석 가능(보안과 관련없는 자는 참석 불가)
-참가기업 모집: 국내외 인공지능, 보안자동화 기반 보안전문기업
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-참석자 사전등록: 클릭
(사전등록 필수, IT보안 관계자만 참석가능)
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
