Security

MS와 클라우드플레어, 대형 피싱 인프라 폐쇄 성공

문가용 기자

Published: 17:40, 17 Sep 2025 (Updated: 12:43, 05 Oct 2025)

💡

Editor's Pick
- 두 거대 IT 기업, 라쿤O365라는 피싱 인프라 무력화
- 338개 웹사이트 폐쇄 및 관련 계정 차단
- 주요 운영자인 나이지리안에 대한 검거 작전도 곧 시작될 듯

마이크로소프트(Microsoft)와 클라우드플레어(Cloudflare)가 협력하여 거대 사이버 범죄 조직의 공격 인프라 일부를 폐쇄시키는 데 성공했다. 이 두 회사의 표적이 된 그룹은 라쿤O365(RaccoonO365)라고 하며, 돈을 목적으로 움직이는 단체다. 2024년 7월 이후 현재까지 94개국에서 피해자를 양산했다. 그 기간 동안 이들 손에 넘어간 MS365 크리덴셜이 5천 개 이상이라고 한다.

라쿤O365
라쿤의 공격 인프라 중 상당 부분은 피싱 웹사이트로 구성돼 있었다. MS와 클라우드플레어가 폐쇄시킨 건 이 피싱 웹사이트들로, 총 338개가 이번 작전으로 사라졌다. 두 회사는 해당 사이트들을 압수하기 위해 뉴욕의 지방 법원의 허가를 받았다고 한다. 즉, 일종의 민관 협력으로 거대 피싱 네트워크 하나가 크게 축소된 것이라고 할 수 있다.

라쿤은 자신과 같은 이름의 공격 도구를 다크웹에서 대여하는 식으로 수익을 창출해 왔던 그룹이다. 여기서 말하는 공격 도구인 라쿤O365는 공격 인프라까지도 포함하는 것으로, 해킹 공격에 대한 아무런 지식이 없는 사람이더라도 이를 이용해 대규모 피싱 공격을 실시하고, 크리덴셜을 탈취할 수 있다는 게 큰 특징이었다고 MS는 설명한다.

요금은 ‘구독제’로 책정되는데 한 달에 355달러, 석 달(90일)에 999달러라고 한다. 참고로 MS는 라쿤O365라는 이름 대신 스톰2246(Storm-2246)이라는 이름으로 해당 그룹을 추적하고 있다. 다크웹에서 거래되는 도구의 이름은 라쿤O365다. 클라우드플레어도 이 이름으로 이들을 추적하고 여러 조치를 취했다.

💡

여기서 잠깐!
‘여러 조치’란 도메인 차단, “피싱 경고” 내용을 담은 중간 페이지 삽입, 이번 공격과 관련된 악성 스크립트 종료 및 삭제, 관련 사용자 계정 정지를 의미한다. 9월 2일에 시작한 이 작업은 9월 8일에 완전히 종료됐다고 클라우드플레어는 발표했다.

공격자들의 희망, 불릿프루프 서버
라쿤이 마련해 두었던 공격 인프라는 이른 바 ‘불렛프루프(Bulletproof) 서버’에 호스팅 되어 있었다. 이는 누구나 돈만 내면 묻지도 따지지도 않고 호스팅을 해 주는 서비스 및 그러한 업체를 일컫는 말이다. 보통 호스팅 서비스를 제공할 때 고객이 어떤 사업을 진행하는지 최소한의 검사와 점검을 한다. 혹여 불법적인 행동을 하다가 적발되면 호스팅 업체에게도 피해가 있을 수 있기 때문이다. 불릿프루프 서버들은 그렇지 않으며, 따라서 범죄자들이 주요 고객들이다.

불릿프루프 서버들의 또 다른 특징은 프록시와 VPN, 토르 등의 기술을 연쇄적으로 사용하고 있다는 것이다. 이 때문에 특정 트래픽을 추적한다고 했을 때 시작점을 찾는 게 꽤나 어려워진다. 심지어 로깅도 최소화 하고 있기 때문에 로깅 점검에도 한계가 있다. 이 때문에 라쿤은 자신들이 불릿푸르프 서버를 이용하고 있다는 사실을 홍보하기도 했다. 즉 “당신이 무슨 짓을 하든 안전이 보장된다”는 의미이기도 하다.

이번 캠페인
라쿤을 이용한 캠페인은 요즘의 피싱 공격 대다수가 그렇듯 유명 브랜드를 사칭하는 것에서부터 시작한다. 마이크로소프트와 클라우드플레어는 물론 도큐사인(DocuSign), 셰어포인트(SharePoint), 어도비(Adobe), 머스크(Maersk) 등 신뢰도가 높은 서비스에서 보낸 것처럼 가짜 이메일을 만들어 전송한 것이다. 여기에 속은 피해자들이 악성 링크를 클릭하면 MS 365에 로그인해야 한다는 피싱 페이지가 화면에 나타난다. 로그인을 하기 위해 ID와 비밀번호를 입력하면 그 정보가 공격자에게로 넘어간다.

여기까지는 흔한 수법이다. 그런데 라쿤은 여기에 하나를 추가한다. 클라우드플레어 턴스타일(Cloudflare Turnstile)이라는 합법적 도구로 캡챠를 생성해 사용하는 것이다. 캡챠를 실시하면서도 피해자들은 별 다른 의심을 하지 않게 된다. “또 클라우드플레어 워커스(Cloudflare Workers) 스크립트를 이용해 피싱 페이지를 보호하기도 합니다. 즉, 공격자들이 노린 사람들만 피싱 페이지에 접근하도록 되어 있다는 겁니다. 불특정 다수가 그 페이지를 보도록 하지 않았어요.”

물론 ‘노린 사람들’ 그 자체로도 광범위하긴 했다. MS에 따르면 캠페인이 겨냥한 건 미국 내 2300여개 기업이었다고 한다. 의료 기관들도 포함돼 있었다. “그 정도 기업들만 노려도 충분하니, 거기서 만족하자는 게 공격자들의 의도 같습니다. 피싱 페이지가 불특정 다수에게 무분별하게 노출될 경우 더 빠르게 적발되고 분석될 수 있다는 걸 염려한 것으로 보입니다.”

공격의 허들, 낮아지고 또 낮아지고
라쿤O365와 같은 인프라를 폐쇄시키는 건 최근처럼 범죄가 ‘산업화’ 된 시기에 대단히 중요하다. 이런 인프라 및 도구들이 있어 기술력이 부족한 사람들도 고차원적인 공격을 실시할 수 있게 되기 때문이다. 즉, 범죄를 촉진하는 역할을 하는 것이다. “이제 사이버 범죄자들이 특별히 기술이 뛰어나거나 정교할 필요가 없습니다. 대신 해주는 자들이 많거든요. 의도만 있으면 됩니다.”

그런 의미에서 불릿프루프 서버 운영자들도 주요 검거 대상이 되어야 한다고 보안 업계는 주장하고 있다. 신분이 노출될 리스크를 현저히 줄여주기 때문에 불릿프루프 호스팅 업체들은 이미 범죄의 온상이 되었으며, 역시나 범죄의 촉진제 역할을 하고 있다는 것이다. 이런 호스팅 서비스가 없다면 공격자들은 악성 요소들을 호스팅 하기 위해 별도의 공격을 실시해야만 한다. 이는 공격 난이도와 비용을 높인다.

라쿤O365를 이끄는 건 나이지리아에 거주하는 조슈아 오군디페(Joshua Ogundipe)라는 인물로 추정된다. 오군디페는 텔레그램 채널을 통해 라쿤을 홍보하고 있다. 이 채널에는 850명 정도가 가입되어 있다. 이들의 암호화폐 지갑을 추적했을 때 라쿤 대여를 위해 돈을 낸 사람은 200명 정도인 것으로 보이는데, 정확한 수치는 아니라고 한다.

오군디페는 아직 체포되지 않았다. 정부 차원의 공조가 필요하기 때문이다. MS와 클라우드플레어는 국제 사법 기관에 오군디페에 대한 자료를 보냈다고 밝혔다. 아직 나이지리아 측에서는 별다른 움직임이 없는 상황이다. 나이지리아는 최근 기업이메일침해(BEC) 공격자들의 주요 근거지로서 국제 사회서 악명을 쌓아가고 있으며, 이는 나이지리아 정부가 원하는 것과 거리가 멀다.