디지털 전환이 가속화되면서 금융정보, 인증정보, 쿠키 등 민감한 데이터를 노리는 사이버 범죄가 전 세계적으로 기승을 부리고 있다. 특히 사용자 정보를 탈취하는 인포스틸러(정보탈취형 악성코드)의 위협이 급증하면서, 이에 대응하기 위한 국제 공조의 필요성이 커지고 있다.

글로벌 사이버 보안 기업 카스퍼스키(Kaspersky)는 인터폴(Interpol)과 협력해 정보탈취형 악성코드를 겨냥한 국제 작전 ‘오퍼레이션 시큐어(Operation Secure)’에 참여했다고 24일 밝혔다. 이번 작전은 2025년 1월부터 4월까지 26개국의 법집행기관과 민간 보안 파트너들이 함께 진행했으며, 사이버 범죄 연루자 체포와 악성 인프라 차단 등 가시적 성과를 거두었다.

인포스틸러 확산에 따른 국제 공조 필요성 대두

인포스틸러는 사용자의 금융정보, 계정 인증정보, 브라우저 쿠키 등을 수집해 로그 파일 형태로 저장하고, 이를 다크웹에서 판매하는 악성코드다. 카스퍼스키 디지털 풋프린트 인텔리전스(Digital Footprint Intelligence) 팀에 따르면, 2023년부터 2024년 사이 약 2600만 대의 윈도우(Windows) 기기가 다양한 종류의 인포스틸러에 감염되었으며, 감염 사례 14건 중 1건꼴로 신용카드 정보 유출이 발생한 것으로 나타났다. 이러한 위협은 국경을 초월해 확산되고 있어, 국가 간 정보 공유와 공조가 절실한 상황이다.

국제 작전 '오퍼레이션 시큐어'의 주요 성과

이번 작전은 정보탈취형 악성 활동을 정확히 식별하고 차단하기 위한 목적으로, 서버 위치 추적, 물리적 네트워크 구조 분석, 표적 제거 등의 수단을 동원해 진행됐다. 카스퍼스키는 인터폴 민간 파트너로서 악성 인프라 정보, 특히 정보탈취형 악성코드의 C&C 서버에 대한 상세 데이터를 제공했다. 이 작전을 통해 약 70종의 인포스틸러 변종과 관련된 2만6000개의 IP 주소 및 도메인이 조사되었고, 40개 이상의 서버가 압수되었다.

특히 작전 기간 중 스리랑카와 나우루에서는 법 집행 기관이 가택 수색을 실시해 총 14명의 용의자를 체포하고, 40명의 피해자를 식별했다. 베트남에서는 경찰이 18명의 용의자를 검거하고, 주거지 및 직장에서 디지털 장비를 압수했다. 이 중 리더는 현금 3억 베트남동(약 미화 만1500달러), 다수의 SIM 카드, 사업자 등록 서류 등을 소지하고 있어 조직적 금융 사기의 정황이 드러났다.

홍콩 경찰은 인터폴이 제공한 1700건 이상의 데이터를 분석하여 89개 인터넷 서비스 제공업체(ISP)에 호스팅된 117개의 C&C 서버를 식별했다. 이 서버들은 피싱, 온라인 사기, 소셜 미디어 사기 등 다양한 악성 캠페인을 운영한 것으로 밝혀졌다.

작전 결과, 전 세계적으로 21만6000명 이상의 피해자 및 잠재적 피해자에게 정보 탈취 사실이 통보되었으며, 이들은 즉시 비밀번호 변경, 계정 정지, 무단 접근 차단 등의 조치를 취할 수 있었다. 카스퍼스키는 다크웹 상에서 유출된 데이터를 추적하고 관련 인증 정보를 지속적으로 모니터링하는 디지털 풋프린트 인텔리전스 서비스를 통해 침해 탐지 및 위협 완화 전략을 제공하고 있다.

카스퍼스키 이효은 한국지사장은 “한국 및 전 세계적으로 사이버 범죄 위협이 확대되는 상황에서, 카스퍼스키가 인터폴과 함께 ‘오퍼레이션 시큐어’ 작전의 핵심 파트너로 참여하게 된 것을 자랑스럽게 생각한다.”라며 “이 이니셔티브는 정보탈취 악성코드 네트워크를 해체하고, 데이터 유출 피해로부터 사용자를 보호하는 데 목적을 두고 있다. 디지털 전환율이 높은 한국에서는 이러한 공동 대응이 우리 국민의 금융 및 개인정보 보호에 매우 중요”하다고 강조했다.

기업과 개인을 위한 대응 지침

카스퍼스키는 인포스틸러 감염 또는 데이터 유출이 감지된 경우, 아래와 같은 즉각적인 대응을 권장하고 있다.

은행 카드 정보 유출 시, 카드를 재발급하고 은행 앱 또는 웹사이트 비밀번호를 즉시 변경하며, 이중 인증을 활성화해야 한다. 계좌 정보가 유출된 경우에는 피싱 이메일, 사기 문자, 사기 전화에 주의하고, 이상 징후 발생 시 반드시 직접 은행에 확인해야 한다.

침해된 계정의 비밀번호를 즉시 변경하고, 이후 수상한 활동이 발생하는지 지속적으로 모니터링해야 한다.

모든 기기에 대해 전체 보안 검사를 실행하고, 탐지된 악성코드를 삭제해야 한다.

기업의 경우 고객 또는 임직원 계정이 유출되기 전에 다크웹 사전 모니터링 체계를 구축하는 것이 바람직하며, 이를 위한 설정 가이드도 제공되고 있다.

국제 협력의 중요성 재확인

인터폴 사이버범죄국 닐 제튼 국장은 “인터폴은 전 세계 사이버 위협에 맞서는 실질적이고 협력적인 행동을 지속적으로 지원하고 있다. 오퍼레이션 시큐어는 악성 인프라를 차단하고 대규모 피해를 예방하는 데 있어, 정보 공유의 힘이 얼마나 중요한지를 다시 한번 입증했다.”라고 평가했다.

카스퍼스키 글로벌 대외 협력 부사장 율리야 슐리치코바는 “사이버 위협은 국경이 없으며, 국제 협력 또한 국경을 초월해야 한다.”며 “민간 기업은 실시간 사이버 위협 데이터를 보유한 최전선의 수호자로서, 이를 법 집행 기관과 공유함으로써 위협 확산을 근본적으로 차단하는 데 기여할 수 있다. 글로벌 사이버 보안은 공동 책임이며, 카스퍼스키는 더 안전한 디지털 세상을 만들기 위해 다양한 이해관계자들을 연결하는 데 있어 인터폴의 역할을 높이 평가한다.”라고 밝혔다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.