테크레시피

사이버 범죄 조직에서 배우는 혁신의 조건

FIN7은 러시아에 거점을 둔 것으로 보이는 10억 달러 이상을 벌어들인 국제적인 사이버 범죄 조직이다. 2018년 회원 일부가 체포됐지만 2020년 현재도 여전히 큰 세력을 유지하고 있다. 보안 연구자에 따르면 FIN7은 기술적 관점으로 보면 특별할 게 없는 조직이다. 예를 들어 공격은 고전적인 피싱 공격에 사용 도구도 일반 악성코드 재사용이다.

고급 기술을 갖고 있지 않은 FIN7이 10억 달러 이상을 획득할 만큼 성공을 거둔 건 혁신이라고 평가할 만한 획기적인 프로젝트 관리가 있기 때문. 정교한 인재 관리와 비즈니스 프로세스를 지적한다. FIN7 인력은 가짜 기업을 통해 모아진다. 중심 멤버는 가짜 보안 업체를 가장해 회원을 모집하고 전망이 있는 인재는 비즈니스 채팅 도구인 힙챗(HipChat)을 이용한 면접까지 실시한다.

이렇게 모은 인력은 효과적인 사이버 범죄 과정과 다양한 기업, 조직에도 응용하고 유료화 템플릿을 통해 조직에 이익을 가져온다. 대상이 되는 조직 선정은 대상 조직 내 잠재적 약점이 될 인원을 찾고 해당 인원에 이메일을 보내 트로이 목마를 심는다. 이렇게 감시 네트워크를 구축한다. 대상 비즈니스 계좌나 판매점에 액세스 등 금융 거래를 특정한다. 또 계좌에서 자금을 인출, 수집한 데이터를 네트워크를 통해 입수한다. 입수한 재무 데이터를 판매한다.

FIN7의 일련의 범죄 과정에 대해 안정적인 범죄 프로세스는 어떤 피해자 가치를 키울 수 있게 한다. 이렇게 FIN7은 착취가 가능한 피해자 포트폴리오를 구축, 관리한다. FIN7은 피해 기업과 해당 기업을 공격하는 인재를 형성한 프로젝트를 단위로 포트폴리오를 관리한다. 프로젝트별로 피해자에 대한 정보와 담당자를 할당, 피해자에게서 가져온 데이터 등을 포함한다. 이렇게 구축한 포트폴리오는 프로젝트 관리 소프트웨어인 지라(JIRA)를 통해 항상 진행 상황을 파악할 수 있게 했다.

또 FIN7의 기술력이 결코 높지 않다는 점은 FIN7 수익이 회원의 기술적 능력에 의존하지 않는다는 장점도 된다.

이 같은 연구 결과를 바탕으로 FIN7이 가진 혁신을 정리하면 이렇다. 기술 요구 혁신에서 사업을 기반으로 한 혁신으로의 전환이다. 이에 따라 재현성과 적응력이 높은 범죄가 가능해지는 것이다. 또 프로세스를 확장하기 위한 포트폴리오를 관리하며 대량 피해자를 관리할 수 있는 프로젝트 관리 소프트웨어를 사용한다. 프로젝트를 동시에 수행할 수 있는 능력을 배양하고 교묘한 역할 분담과 구조, 인력을 확보한다. 데브옵스(DevOps)와 민첩성을 도입한 개발 환경을 지원한다. 관련 내용은 이곳에서 확인할 수 있다.