바야흐로 ‘대행 서비스’ 전성시대가 도래했다. 물론, 이전에도 상표권 등록, 광고-홍보 등의 전문적인 업무를 수행하거나 주차, 해외 구매, 청소 등 시간의 한계로 하기 어려운 일을 해 주는 대행 서비스는 존재했다. 그러나 서비스 영역이 한정적이었던 과거와는 달리, 오늘날의 대행 서비스는 이전에는 상상할 수 없었던 영역까지 그 범위를 넓히고 있다. 배달을 하지 않는 음식점의 음식을 사다 주고, 벌초를 대행하며, 심지어 사과와 이별 의사를 대신 전해주기까지 한다. 

효율성과 간편성을 중시하는 ‘대행 서비스’ 바람은 정보보안 업계에도 적지 않은 영향을 미치고 있다. 멀웨어 제작자가 돈을 받고 사이버 공격에 필요한 다양한 서비스를 제공하는 ‘서비스형 멀웨어(MaaS)’ 사업이 날로 번창하고 있기 때문이다. 악성코드, 취약점, 난독화 통신 기술 등 공격에 필요한 다양한 요소들을 ‘올인원 킷’ 형태로 제공하거나, 일정 금액을 받고 공격을 대행해주는 방식으로 마음만 먹으면 초보 공격자도 손쉽게 사이버 공격을 할 수 있게 되는 것이다.

공격자들은 탐지 시스템을 우회할 수 있는 신ž변종 멀웨어를 보다 쉽고 빠르게 제작하기 위해 첨단 도구를 이용한 분업체계를 구축하고 있다. 웹센스의 ‘2015년 위협 보고서’에 따르면, 사이버 범죄

조직은 뛰어난 해킹 기술을 가진 개인에 의존하기 보다는 각자의 역할이 분담된 조직을 형성하는 경향을 보인다. 하위 조직이 샌드박스를 우회할 수 있는 멀웨어 혹은 트래픽 분석 도구를 무력화시킬 수 있는 난독화 통신 기술 등을 개발하면, 상위 조직이 그 중 공격 효과가 검증된 것을 임대하여 사용하는 방식이다.

또한, 공격자들은 최대한의 수익을 올릴 수 있도록 다양한 공격 기법을 혼용하여 사용하고 있다. 안티 바이러스 백신에 탐지 될 경우 환불을 보장하는 사업자도 있는 만큼, 위협이 발각되지 않도록 공격에 필요한 여러 요소들을 다양화시키는 것이 특징이다. 이메일, 웹사이트 등 잘 알려진 공격 경로를 이용하되 알려지지 않은 취약점을 노리거나, 기존의 공격 단계 중 일부를 생략하는 등 전통적인 그리고 최신의 방식을 혼용하여 탐지를 어렵게 만든다.

공격자들은 높은 수익이 보장되는 멀웨어와 관련된 서비스를 제공하는 데 집중하기도 한다. 랜섬웨어를 제작하고 유포해주는 ‘서비스형 랜섬웨어(RaaS)’가 대표적인 예이다. 랜섬웨어 제작자에게 제작을 의뢰한 공격자와 이를 받아들인 공격자가 해당 랜섬웨어를 통해 발생한 수익을 일정 비율로 나눠 갖는 공격 모델로, 체크포인트에 따르면 ‘케르베르(Cerber)’를 제작한 공격 조직은 이와 같은 서비스 사업을 통해 한 해 230만 달러(한화 약 25억)에 상당하는 막대한 수익을 올리고 있는 것으로 분석되었다.

‘서비스형 멀웨어’ 사업을 통해 실질적인 수익이 발생함에 따라, 서비스를 제공하는 공격 집단 간의 경쟁도 치열해지고 있다. 이들은 앞서 형성된 가격대보다 훨씬 낮은 가격에 서비스를 제공하거나, 구매자에 최적화된 기능과 서비스를 제공하는 등 수익을 높이기 위한 방안을 적극 강구하고 있다. 박리다매 판매 전략을 펼치고 있는 대표적인 예로 인기 게임 ‘스팀’ 게임 아이템과 사용자 계정 정보를 탈취하는 ‘스팀 스틸러’를 꼽을 수 있다.

.카스퍼스키랩에 의하면, ‘스팀 스틸러’는 무료 업그레이드, 사용자 매뉴얼, 배포 방법 등 그 기능과 구성이 차등화된 여러 버전이 판매되고 있는데, 심지어 30달러에 구입할 수 있는 상품도 있어 전 세계의 아마추어 범죄자들에게 폭발적인 인기를 얻고 있는 것으로 나타났다. 이는 일반적인 악성 공격 솔루션의 이용 가격인 500달러의 16%에 불과한 저렴한 가격으로 사이버 공격을 하기 위한 비용의 부담을 덜어냈다는 점에서 의미하는 바가 크다.

대조적으로, 가격은 비싸지만 가공할 만한 위력을 강점으로 내세우는 서비스형 멀웨어도 종종 등장하고 있다. 헤임달 시큐리티(Heimdal Security)가 사이버 블랙마켓 람페두자에서 발견한 ‘스카일렉스(Scylex)’ 멀웨어가 대표적인 예이다. 스카일렉스는 사용자 모드에서 해킹 사실을 알지 못하게 악성코드를 숨기고, 원격에서 임의의 웹 스크립트를 주입하는 등 금융기관을 노린 사이버 공격을 지원하는 다양한 기능과 일정 시간의 기술 지원 서비스를 포함하여 7,500-1만 달러 선에서 판매되고 있다.

이와 같이, 실속과 효율에 중점을 둔 ‘서비스형 멀웨어’ 사업이 한층 체계화됨에 따라, 사이버 범죄는 하나의 산업이자 공격자들의 새로운 먹거리로 자리잡고 있다. 공격자들은 마치 일반적인 소프트웨어 업체인양 고객 만족을 끌어올리기 위한 다양한 투자 전략을 구사하고 있다. 멀웨어를 판매하고 고객 맞춤형 사후 서비스를 제공하는 것은 물론 새로운 기능을 알리는 뉴스레터를 보내고 고객 관심 유지를 위해 자체적인 ‘해킹 대회’를 개최하기도 한다.

무엇보다 가장 무서운 점은 누구나 마음만 먹으면 사이버 공격을 감행할 수 있게 되었다는 사실이다. 공격을 기획하고 실행하기 위해 요구되는 전문적인 지식과 인프라가 서비스 형태로 제공됨에 따라, 기술적인 그리고 비용적인 측면에서 사이버 공격의 장벽이 점점 낮아지게 되었기 때문이다. 또한, 유출한 데이터를 은밀히 거래하는 데 중점을 두고 있던 사이버 블랙마켓의 역할이 공격자간 협업과 분업을 촉진시키는 형태로 변모했다는 점 역시 간과해서는 안 될 부분이다.

사이버 공격을 대행하는 ‘서비스형 멀웨어’ 확산에 따라, 방어자들이 대응해야 할 보안 위협은 한층 정교해지고 방대해질 전망이다. 언제 어디서 어떻게 어떤 형태의 공격이 들어올지 그 누구도 장담할 수 없는 만큼, 기업과 기관의 보안 관리자, 사용자 모두가 각별한 주의를 기울이고, IT 환경의 보안성을 높이는 데 전념해야 할 것으로 보인다. 탐지를 우회하는 신변종 공격에 보다 유연하게 대처할 수 있도록 보다 체계적이고 지속적인 보안 투자가 뒷받침되었으면 하는 바램이다.