전국이 n번방 사건으로 시끄럽다. 과연 그들은 어떤 경로를 통해 암흑의 범죄를 해왔을까?
그들이 사용한 도구들과 최근 벌어진 사이버범죄 사례를 소개한다.
n번방 조주빈 일당이 사용한 메신저
1. 텔레그램
사이버 범죄자들이 암호화 메신저 채팅앱을 사용한 지 꽤 오래됐다. 많은 나라 경찰들이 대규모 다크웹 시장을 폐쇄해 텔레그램과 같은 채팅앱이 범죄에 자주 사용됐다. 다크웹은 검색 등으로 접근이 어려운 웹으로 지하세계에 해당한다. 불법적인 것이 가득 차 있는 어둠의 세상이라고 할 수 있다. IP 추적과 검열을 피할 수 있고 익명성이 보장돼 마약, 권총, 음란물, 개인정보 등이 이곳에서 거래된다. 특히 여러 채팅앱 중 텔레그램이 강력한 사용자 보호를 할 수 있어 사이버범죄자들의 도구가 됐다. 우리나라도 카카오톡 감청 논란 후 정치권에서 텔레그램을 적극 사용하기 시작했다.
2. 디스코드
디스코드는 게임을 사용하기 위해 만들어진 메신저로 텍스트 채팅과 정보공유, 관리 기능 등을 통해 게이머들 사이에 자리 잡았다. 특히 인기 있는 ‘배틀 그라운드’나 ‘오버워치’ 등 게임 유저들을 중심으로 대중화됐다. 채팅방에서는 게임핵이나 해킹 도구가 거래되고 음성화된 채팅방에서 점차 음란물이 거래되기 시작했고, 청소년 성착취 영상까지 유포된 것이다. 해외 사이버범죄자들도 디스코드를 많이 사용한다. 디스코드 가입자는 텔레그램이나 왓츠앱에 비해 9배나 빠르게 증가하고 있다.
3. 위커
조주빈 일당은 ‘박사VIP’를 ‘위커(Wickr)’에서도 운영했다. 위커는 미국 샌프란시스코에서 만든 메신저로 오픈 보안 접근(Open Secure Access, OSA)이라는 기능을 통해 인터넷 트래픽 차단이나 검열로부터 안전하게 메시지를 보호할 수 있다.
위커는 스마트폰에 앱 설치 후 사용할 아이디와 비밀번호만 입력하면 된다. 전화번호 인증을 하지 않아도 돼 익명성을 지킬 수 있다. 최장 7일 이내에 무조건 메시지가 삭제된다. 텔레그램처럼 메시지가 삭제되지 않게 설정할 수 없다. 애플리케이션 락 기능을 제공한다고 한다. 비밀번호는 계정 비밀번호와 같다.
4. 와이어
스카이프의 창업자 중 한 명인 야누스 프리스가 만든 것으로 알려진 커뮤니케이션 앱이다.
‘가장 안전한 협업 플랫폼’이란 슬로건을 사용하는 와이어는 메신저와 음성, 비디오, 전화회의, 파일공유 및 외부 협력까지 포괄적으로 지원하며, 모두 엔드 투 엔드 암호화로 보호된다.
와이어는 아주 감각적이고 세련되고, 현대적인 아마 지금까지 나온 메신저 앱을 모아서, 제일 깔끔하고 환상적인 환경을 갖추고 있다. 맨해튼의 모던적인 느낌을 주며 실제로 고위 맨해튼 시민들이 애용한다.
성인 사이트 접속 녹화영상 있다며 협박 메일 유포
텔레그램 n번방, 박사방 사건 수사가 본격화되고 있는데 이번에는 ‘성인 사이트’에 간 걸 모두 녹화해 놓았다며, 공개되지 않게 하려면 돈을 내라는 협박 메일이 유포되고 있다.
협박 메일에는 자신의 컴퓨터에 키로거, 원격제어 도구 등을 모두 설치해 ‘성인 사이트’ 접속한 거 모두 녹화해뒀으니 이것이 공개되지 않게 하려면 돈을 내라는 내용이었다.
무작위로 협박 메일을 유포하지 않고 공개된 계정정보 보유자를 타깃으로 비밀번호를 이메일 제목으로 넣어 협박 메일을 보내 ‘사기’ 성공률을 높였다.
해당 협박 메일은 스팸 메일 차단 필터를 피하려고 스페이스가 있어야 할 이메일 본문에 흰색의 바탕색 글자를 추가했다. 해킹 사고로 유출된 개인정보는 다크웹 등에 판매 또는 공개되면서 유출된 정보를 악용한 2차 피해 우려도 커졌다.
악성 프로그램 랜섬웨어 재등장
보안전문업체 이스트시큐리티 시큐리티대응센터(ESRC)는 입사지원서를 사칭해 대량 유포됐던 ‘Makop’ 랜섬웨어 이메일이 다시 유포되고 있다고 밝혔다. 랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용하지 못하도록 한 뒤, 이를 풀어주는 대가로 금전을 요구하는 악성 프로그램이다. 이번에 발견된 입사지원서 사칭 악성 이메일도 국내 대형 포털 이메일을 사용하고, 이메일 본문에 작성된 문장에 마침표를 생략하고 이중 압축을 하는 등의 특징을 보인다.
첨부 파일에 포함된 문서위장 파일은 대부분 유사한 이름을 사용하고 있다. 지원서 사칭 외에 전자상거래 위반행위 관련 내용도 유포된다. 이번 악성 이메일에서는 기존에 잘 사용하지 않던 tar 압축포맷을 사용했고, 이중 압축한 파일 내부에 존재하는 파일에 동일한 오타가 있다. 만약 한글파일 아이콘으로 위장한 해당 악성코드를 지원서나 포트폴리오로 착각하고 열게 될 경우 ‘makop’ 랜섬웨어 변종에 감염된다.
