사이버 범죄의 부메랑, 루마 스틸러가 돌아왔다

39만 5천대. 단 2개월 만에 감염된 윈도우 컴퓨터 수다. 작년 5월 FBI와 국제 수사기관들이 합동 작전으로 차단한 루마 스틸러가 8개월 만에 다시 활개를 치고 있다.

2,500달러짜리 범죄 도구의 귀환

루마 스틸러(Lumma Stealer)는 2022년 러시아어권 사이버 범죄 포럼에서 처음 등장했다. '서비스형 악성코드'(MaaS) 모델로 운영되는 이 도구는 클라우드 기반 인프라를 통해 가짜 소프트웨어, 게임, 영화 다운로드 사이트를 호스팅하며 사용자 정보를 훔쳐왔다.

프리미엄 버전은 2,500달러에 거래됐고, 2024년 봄까지 범죄 포럼에 2만 1천 개 이상의 판매 글이 올라왔다. 마이크로소프트는 루마를 여러 범죄 조직의 '필수 도구'라고 규정했다. 특히 가장 악명 높은 그룹 중 하나인 스캐터드 스파이더도 이를 애용했다.

국제 공조의 한계

FBI와 국제 수사기관들은 작년 5월 대대적인 작전을 펼쳤다. 2,300개의 도메인과 명령제어 인프라, 범죄 마켓플레이스를 압수했다고 발표했다. 당시 사이버 보안 업계는 '성공적인 국제 공조의 사례'라며 환영했다.

하지만 현실은 달랐다. 연구진들은 수요일 루마가 '대규모로 복귀'했으며, 이전보다 탐지하기 어려운 공격 기법을 사용하고 있다고 밝혔다. 사용자의 로그인 정보와 민감한 파일을 훔치는 핵심 기능은 그대로다.

한국 사용자들도 안전하지 않다

루마의 공격 방식은 교묘하다. 무료 크랙 소프트웨어나 게임, 불법 영화를 미끼로 사용자를 유인한다. 한국에서도 토렌트 사이트나 웹하드를 통해 이런 파일들을 다운로드하는 사용자들이 많다는 점에서 결코 남의 일이 아니다.

특히 재택근무가 일상화된 상황에서 개인 PC에 회사 정보가 저장된 경우가 많다. 루마에 감염되면 개인 정보뿐만 아니라 회사 기밀까지 유출될 수 있다. 삼성전자나 네이버 같은 대기업들이 강화하고 있는 보안 정책도 직원 개인 PC의 보안이 뚫리면 무용지물이 될 수 있다.