[뉴스 스크랩] 보안뉴스_벡스트리오, 어쩌면 가장 거대한 사이버 공격 인프라 운영자들

벡스트리오, 어쩌면 가장 거대한 사이버 공격 인프라 운영자들

---

벡스트리오(VexTrio)

단 한 개 TDS 시스템에 7만 개가 넘는 도메인이 연결되어 있고, 이 대규모 인프라는 각종 사기와 피싱, 멀웨어 유포 공격에 활용되었다. 역대 최대 규모의 공격 인프라다.

사이버 범죄에 직접 가담한 적은 없지만, 이 TDS 네트워크를 통해 많은 사이버 범죄가 일어나는 것은 사실이다.

벡스트리오는 한 마디로 악성 요소들이 사이버 공간을 사방팔방 질주할 수 있게 해 주는 범죄자들의 고속도로를 제공하는 자라고 할 수 있다.

 

벡스트리오 TDS, 어떻게 범죄에 이바지하나

벡스트리오는 7만 개 이상으로 구성된 도메인을 클러스터로 묶어서 운영하고, 이 도메인은 늘 바뀐다. 이 거대 도메인 클러스터는 60개 이상의 사이버 범죄 조직이 관리하는 각종 악성 자산들과 연결되어 있으며, 이 자산들로부터 발생하는 트래픽을 흡수한다.
여기서 말하는 ‘악성 자산’은 대부분 공격자들이 침해한 워드프레스 사이트들이다. 벡스트리오와 손을 잡은 공격 단체 중 가장 유명한 속골리시(SocGholish)와 클리어페이크(ClearFake)의 경우 취약한 워드프레스 사이트들을 찾아내 악성 자바스크립트를 삽입하는 수법을 주로 사용한다.
벡스트리오의 TDS 서버들은 브라우저 설정 정보와 캐시에 저장된 데이터(공격 대상의 OS, 위치 등)를 빠르게 분석하고, 이를 바탕으로 트래픽을 걸러낸다. 만약 공격자가 정해둔 조건에 부합하는 트래픽이 탐지되었다면 벡스트리오의 TDS 서버들이 이를 돌려 공격자들이 미리 침해시켜 둔 사이트로 우회 접속시킨다. 그리고 거기서부터 여러 가지 악성 공격이 진행된다.

벡스트리오가 하는 일

1. 공격자들이 원하는 트래픽을 찾아준다.
2. 그 트래픽을 공격자들이 운영하는 사이트 등 공격의 무대가 되는 곳으로 안내한다.
3. 공격자들이 원하지 않는 트래픽(허니팟, 보안 전문가, 사법 기관 등)을 튕겨낸다.

공격자들이 누리는 효과

1. 트래픽 부하가 적절하게 배분된다.
2. 사이버 보안 전문가들이나 사법 기간의 트래픽을 덜 염려해도 된다.
3. 공격 행위 자체가 경제적으로 우수해진다.
4. 자기가 잘하는 것에 집중할 수 있다.
5. 마이크로타깃팅을 할 수 있게 된다.

 

벡스트리오, 어떻게 숨을 수 있었나

벡스트리오가 탐지를 회피하기 위해 한 방법들

1. 매일 대량의 도메인을 새롭게 생성하는 알고리즘을 운영했다.
2. TDS로 트래픽을 우회시킬 때 여러 단계를 거쳐서 진행했다.
3. URl 요청 매개변수 이름을 지정할 떄, 정상 TDS 네트워크에서 사용하는 추천 링크와 동일하게 만들었다.

이 외에도 벡스트리오는 침해된 웹사이트를 일부 스스로 보유하고 있기도 했다. 만일의 사태를 대비한 '백업'망인 것이다.

 

그런데 현재 법 체계에서는 벡스트리오처럼 중간자 역할만 하는 자들을 추적하거나 기소할만한 근거가 부족하다. 합법적인 절차를 밟는다는 건 어려운 일이다. 죄목을 확정시키기가 힘들기 때문이다.

이들을 상대하기 위해서는 산업 내 플레이어들이 이들에 관해 독립적으로 조사를 실시하고 그 결과를 적극적으로 공유해야 한다. 기업적으로는 기본적인 보안 실천 사항을 지키고 심층적인 방어벽을 형성해야 한다.

---

느낀점

: 이런 대규모 인프라가 그동안 숨어있던 것도 놀랍고 어떻게 발견됐는지도 궁금하다. 사이버 범죄 인프라가 이렇게 크다니 새삼 사이버 보안의 중요성을 실감하게 된다. 이들을 단죄하기 위한 마땅한 대책이 없는 것도 큰 문제점인 것 같다.