글로벌 작전으로 사이버범죄 '조립라인' 적발
원제: One-two punch delivered in global operation disrupts cybercrime "assembly line"
왜 중요한가
사이버범죄 인프라의 동시 적발은 수사 기법 발전을 보여주며, 국제 협력의 효과성을 증명해 대규모 사이버범죄 조직 분쇄의 모범 사례로 평가된다.
국제 당국과 민간 기술 기업들이 '엔드게임 작전'을 통해 2개의 광범위하게 사용되는 사이버범죄 도구를 동시에 적발했다. Amadey 멀웨어와 StealC 정보탈취 도구로 인해 4,700만 달러 이상의 피해가 발생했으며, 2,700만 개 이상의 탈취 인증정보가 복구됐다.
마이크로소프트와 유럽경찰청(Europol)이 주도한 '엔드게임 작전'은 두 개의 서로 독립적인 사이버범죄 도구를 동시에 적발했다. 첫 번째는 Amadey로, 2018년부터 활동해온 '악성 소프트웨어 서비스'(MaaS) 플랫폼이다. 기기 침탈, 악성 페이로드 전달, 랜섬웨어 및 사기 행각에 사용됐으며 지난해 GitHub를 악용해 감염된 기기의 시스템 정보를 수집했다. 두 번째는 StealC라는 '정보탈취 서비스'로, 로그인 자격증명, 인증 쿠키, 암호화폐 지갑, 브라우저 확장 프로그램, 패턴별 파일 정보를 탈취한다.
두 도구는 별개로 운영되지만 많은 사이버범죄자들이 동시에 사용했다. 마이크로소프트의 AI 분석 결과, 두 도구가 동일한 기반 인프라에 의존하고 있음이 밝혀졌다. 이를 토대로 마이크로소프트 법무팀은 조직범죄를 겨냥한 RICO 법령을 적용해 두 도구를 단일 음모의 일부로 처리했다.
적발 결과, 200개 이상의 명령제어 서버가 차단되고 1만8,000개 이상의 감염된 컴퓨터가 범죄자 통제에서 해제됐다. 유럽경찰청은 326개 서버와 142개 도메인을 적발했으며, 2,700만 개의 탈취된 로그인 인증정보를 복구하고 4,700만 달러 규모의 '범죄 출처 암호자산'을 적발했다. ESET, Proofpoint, IBM X-Force, Bitsight, Mitsui Bussan Secure Directions 등이 작전에 참여했다.