범죄 지하 세계의 실업 사기

범죄 지하세계의 실업 사기 [보고서]

기본 로고 - 인식트 - 디지털 (RGB).png
전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

이 보고서는 비공개 정보원과 지하 신고를 통해 현재 미국 내 실업 사기의 위협 환경을 검토합니다. 여기에는 Recorded Future® 플랫폼을 사용하여 수집한 정보와 추가 오픈 소스 정보(OSINT), 다크 웹 소스 및 언더그라운드 포럼 리서치가 포함되어 있습니다. 범죄 조직 내 실업 사기를 더 잘 이해하고자 하는 조직과 그러한 공격을 수행하는 위협 행위자에 대한 수사관들이 관심을 가질 만한 자료입니다.

Executive Summary

코로나19 팬데믹으로 인해 원래 바이러스로 인해 생활에 지장을 받은 사람들에게 제공되어야 할 실업 구제를 주제로 한 다양한 범죄 서비스가 상품화되고 있습니다. 실업 사기는 최근 위협 행위자들이 점점 더 쉽게 접근할 수 있게 되었으며, 신생 사이버 범죄자들에게는 진입 장벽이 낮습니다. 올해 코로나19 팬데믹에 대응하기 위한 구호 활동을 주제로 한 사기 캠페인의 성공은 성공적인 소셜 엔지니어링 캠페인, 미국 전역에서 활동하는 자금 운반책의 사용, 데이터 침해, 덤프 또는 유출 과정에서 노출된 위협 행위자의 로그인 정보 또는 개인 식별 정보(PII) 사용 등 여러 요인이 복합적으로 작용한 결과일 가능성이 높습니다. 실업급여 시스템을 노리는 일부 사기꾼은 기업의 경영진을 대상으로 하는 표적 피싱 이메일과 같은 전통적인 형태의 소셜 엔지니어링에 의존할 가능성이 높습니다. 이 사기 활동과 관련하여 자금 운반책이 사용된 것으로 의심되는 것과 같은 다른 전술은 다양한 유형의 사기를 전문으로 하는 다른 사이버 범죄 그룹, 특히 비즈니스 이메일 침해(BEC) 사기를 전문으로 하는 조직들의 전술과 겹칩니다.

실업 사기 튜토리얼 판매에 대한 지하 참조의 양과 이러한 수법이 생성하는 조회 수를 고려할 때, 많은 사기꾼이 여전히 이러한 형태의 사기를 수행하는 데 익숙하지 않을 가능성이 높습니다. 레코디드 퓨처는 공격자들이 정부 시스템 내의 취약점을 악용하고 있다고 의심할 만한 증거를 발견하지 못했으며, 대신 이전에 노출된 정보를 수집하여 가능한 한 많은 피해자를 기회주의적으로 노리는 공격자들의 능력에 의존하고 있습니다. 2020년 한 해 동안 실업 사기가 전반적으로 증가한 것은 실업 지원자 데이터를 가상 및 물리적으로 보호해야 하는 여러 정부 기관의 보안 위생에 공백이 생겼기 때문일 수 있습니다. 이는 일부 주에서 실업수당 청구와 관련된 개인 정보가 포함된 실제 우편물을 가로채려고 시도하는 것으로 추정되는 행위자들에 의해 입증되었습니다. 많은 주에서 공무원들을 압도한 실업수당 신청 사기가 범람하는 것은 사이버 범죄자들이 도용한 계정이나 유사한 사기를 수행하는 방법에 대한 저렴한 튜토리얼 및 방법을 구입할 수 있는 낮은 진입 장벽도 한몫하고 있습니다.

주요 판단 및 결과

배경

코로나19 팬데믹이 시작된 이후 미국 전역에서 만연한 실업 사기가 보고되고 있으며, 주마다 그 정도는 다르지만 영향을 받고 있습니다. 이는 도난당한 PII를 사용하여 실업 수당을 청구하는 위협 행위자부터 훔친 자금을 운반하는 자금 운반책에 대한 신고에 대응하는 주 공무원, 해외에서 활동하는 사기 위협 행위자에 이르기까지 다양한 형태로 나타났습니다.

여러 주에서 광범위한 실업급여 사기 사례가 계속 보고되고 있습니다. Recorded Future는 정부 시스템 내의 내재된 취약점 때문에 발생한 실업 보험 사기 사례를 발견하지 못했습니다. 오히려 보고서는 주별로 활동하는 개별 사기꾼들이 사용한 다양한 기술을 상세히 설명하고 있으며, 올해 발생한 모든 실업 보험 사기 보고서가 단일한 위협 주체에 의해 발생했을 가능성은 낮습니다. 2020년 내내 실업급여 사기 사건이 전반적으로 증가한 것은, 실업급여 신청자 데이터를 보호하는 책임을 지고 있는 여러 정부 기관의 보안 관리 부실과 맞물려 더욱 악화되었을 가능성이 높습니다. 보안 전문가들은 코로나19 팬데믹 이전부터 여러 국가가 이 특정 형태의 사기 대응 능력과 관련된 기존 문제를 가지고 있었을 가능성이 높다고 보고 있습니다. 이 문제에는 다음과 같은 실패 사례가 포함됩니다:

신흥 사이버 범죄자들은 실업 시스템에 대한 사전 지식 없이도 이러한 형태의 사기 활동을 수행하는 것이 얼마나 쉬운지 자세히 설명하는 오픈 소스 보고서와 활동을 용이하게 하는 튜토리얼이나 방법을 구입하는 데 드는 상대적으로 저렴한 비용으로 인해 대담해졌을 가능성이 높습니다.

위협 분석

지난 6개월 동안 비공개 제보에 포함된 실업 서비스 사기 홍보는 크게 두 가지 범주로 나눌 수 있습니다:

2020년 3월, 미국 의회는 코로나바이러스 지원, 구호 및 경제 안정화 법안(CARES Act)을 통과시켰으며, 이 법안은 팬데믹 실업 지원 프로그램(PUA)을 신설했습니다. 이 프로그램은 코로나19로 인해 영향을 받은 자영업자, 프리랜서, 독립 계약자 및 시간제 근로자의 실업 보험 자격을 확대합니다. PUA 프로그램은 미국 내 정부 기관들이 팬데믹에 대응해 제공하는 실업 지원 조치의 한 부분에 불과하지만, 실업 사기와 관련된 지하 광고의 급증하는 규모에서 핵심적인 요소로 계속해서 작용해 왔습니다.

실업-사기-범죄-지하-1-2.png
그림 1: 다크웹 소스 내 PUA 프로그램 언급(출처: Recorded Future)

아래 그림은 한 텔레그램 채널의 회원들을 대상으로 여러 형태의 사기 행위에 대한 설문조사 결과를 보여줍니다. PUA 정보 판매는 설문조사에서 최하위를 차지했지만, 설문조사에 포함된 것 자체가 이 사기 활동 요소가 사이버 범죄자들 사이에서 비공개 소스 내에서 자체 판매 카테고리를 보장할 만큼 충분한 수요를 창출하고 있다는 것을 보여줍니다. 레코디드 퓨처는 2020년 말에 실업수당 관련 조항이 만료될 것이라는 예상에 따라, PUA 프로그램이나 기타 실업수당 제공이 갑자기 중단될 경우, 최대한 많은 수익을 창출하려는 채널 관리자들의 사기성 PUA 청구가 우선적으로 이루어지고 있는 텔레그램 채널에 대한 정보를 파악하고 있습니다.

실업-사기-범죄-지하-2-1.png
그림 2: 2020년 11월 텔레그램 채널의 사기 활동 관련 설문조사 (출처: 텔레그램)

지난 6개월 동안 사이버 범죄자들은 범죄 포럼, 상점 또는 마켓플레이스보다 메시징 플랫폼을 통해 실업 사기 튜토리얼이나 계정 정보를 광고하는 것을 선호하는 것으로 나타났습니다. 그러나 전통 시장 내 수요는 여전히 높기 때문에 관리자는 실업 사기와 관련된 다양한 오퍼링을 계속 지원할 수 있습니다.

이러한 형태의 사기의 또 다른 매력적인 측면은 튜토리얼이나 계정 정보의 가격이 상대적으로 저렴하다는 점입니다. 레코디드 퓨처는 대상 주에 따라 5달러에서 100달러에 판매되는 실업 사기 행위에 관한 튜토리얼과 방법을 관찰했습니다. 아래 그림 3에서 볼 수 있듯이, 일부 위협 행위자들은 뉴욕 및 위스콘신 실업수당 청구와 관련된 PUA 정보에 대해 80~100달러를 요구했습니다(아래 그림 4 참조).

이러한 정보를 판매하는 위협 행위자들은 지하 비즈니스 모델의 장기적인 성공을 위해 수천 달러에 달하는 구호 잔액이 있는 계정을 포기할 의향이 있음을 보여주었습니다. 또한, 튜토리얼이 아닌 기존 잔액이 있는 계좌에 직접 액세스하는 가격이 더 높은 것은 구매자가 다른 베테랑 행위자가 이미 조달한 자금에 더 쉽게 접근할 수 있는 위치에 있기 때문일 수 있습니다. 이는 구매자가 법 집행 기관의 관심을 피하면서 수익을 달성하기 위해 피해자 계정을 확보하는 데 최종적인 책임을 지는 튜토리얼과는 대조적입니다.

실업-사기-범죄-지하-3-2.png
그림 3: "무작위" PUA 계정 정보에 대한 액세스 권한 판매

실업수당 사기와 관련된 다른 사기 수법에는 사이버 범죄자들이 사기 청구서 제출 시 성공 가능성을 높이는 유용한 팁이 포함되어 있습니다. 사기범들이 여러 튜토리얼에서 추천하는 팁은 다음과 같습니다:

사기성 실업 수당 안내서나 계좌 정보를 판매하는 지하 조직은 일반적으로 신용카드 및 세금 사기를 비롯한 다른 형태의 사기를 전문으로 합니다. 또한 이러한 유형의 사기 판매자는 한 번에 한 주의 실업 시스템을 대상으로 모든 자원을 투입하지 않는 것으로 보입니다. 대신, 고객의 수요와 특정 주 내에서 실업 수당 계좌에 접근하기 어려운 정도에 따라 다양한 주의 정보에 동시에 접근할 수 있는 서비스를 제공합니다.

실업-사기-범죄-지하-4-1.png
그림 4: 단일 언더그라운드 행위자의 국가 PUA 제공 스크린샷 (출처: 텔레그램)

최종 사용자의 검색 기록 또는 '디지털 발자국' 판매를 전문으로 하는 Genesis Store 및 Russian Market과 같은 범죄 상점에서도 2020년 내내 실업 수당과 관련된 주 정부 도메인의 로그인 정보가 정기적으로 포함되어 있었습니다. 레코디드 퓨처는 사이버 범죄자들 사이에서 주 정부 로그인 정보가 포함된 이러한 '봇'이 실업 사기 행위를 위해 특별히 구매되었다는 징후나 언급은 발견하지 못했지만, 이러한 상점 내에 토론 기능이 없기 때문에 이러한 출처로부터의 구체적인 구매 동기를 파악하기는 어려웠습니다.

정부 모니터링의 변화에 대한 알림

미국 전역에서 실업급여 사기 신고가 지속적으로 증가함에 따라, 각 주 정부는 이 형태의 사기 행위가 초래하는 위협을 완화하기 위해 다양한 조치를 취해 왔습니다. 2020년 11월 현재, USSS는 급여 보호 프로그램(Paycheck Protection Program) 및 실업 구호 보험 프로그램(Unemployment Relief Insurance program)을 대상으로 한 사기 사건과 관련된 700건의 진행 중인 조사 사례를 보고했습니다. 개별 주들이 이처럼 급속히 확산되는 사기 행위를 막기 위해 더 강력한 보안 조치를 강화해 나가고 있는 가운데, 실업 사기 방법이나 계정 정보를 광고하는 사이버 범죄자들은 이러한 변화들을 지속적으로 모니터링하며 이에 맞춰 전략을 조정하고 있습니다.

실업-사기-범죄-지하-5-1.png
그림 5: 채널 구성원에게 특정 상태를 표적으로 삼지 말라고 조언하는 위협 행위자(출처: 텔레그램)
실업-사기-범죄-지하-6-1.png
그림 6: 정부의 텔레그램 채널 감청 시도에 대한 관리자의 경고 (출처: 텔레그램)

이러한 사기 행위가 확산되는 데 도움을 준 정부 또는 기업 시스템 내의 보안 취약점은 확인되지 않았습니다. 위협 행위자들은 노출된 로그인 정보를 수집하거나 지하 출처에서 판매할 목적으로 PII 번들을 구매하여 실업 구호 플랫폼을 계속해서 기회주의적으로 표적으로 삼을 가능성이 높습니다.

다른 사기범 지원

일반적으로 실업 사기 전용 메시징 플랫폼 내에서 채널을 관리하는 관리자들은 채널에 대한 수요를 창출하고 수익을 높일 수 있는 파트너와 장기적인 관계를 발전시키기 위해 신규 사용자 멘토링에 대한 아이디어를 수용했습니다. 사이버 범죄자들 사이에서 실업 사기에 대해 서로 협력하려는 이러한 의지는 사이버 범죄 포럼에도 이어져, 장기적인 사기 활동을 위한 '진지한' 파트너를 찾는 사용자들의 반복적인 요청이 관찰되었습니다. 이러한 스레드를 통해 이해관계자들이 비공개 채널을 통해 공급업체에 연락하도록 유도했기 때문에 Recorded Future가 이러한 파트너십의 잠재적 성공 가능성에 대해 파악할 수 있는 가시성은 제한적이었습니다.

실업-사기-범죄-지하-7-1.png

실업급여 파트너 요청 _그림7: 실업급여 파트너 요청 _그림7

고용 사기 또는 PUA 사기 수법을 사용하는 공급업체는 재난 구호 사기, 사회보장 사기, 세금 사기, 신용 카드 사기 등 여러 가지 사기에 동시에 연루되는 경우가 많습니다. 이는 다양한 수익원을 제공할 수 있는 여러 서비스를 운영하는 사이버 범죄 조직이 주로 사용하는 방식입니다.

레코디드 퓨처는 범죄 조직 내부에 퍼져 있는 PUA 또는 일반 실업 사기 수법과 관련된 몇 가지 튜토리얼과 방법을 검토했습니다. 광고된 대부분의 방법의 경우, 사이버 범죄자들은 이미 도난당한 PII 또는 '풀즈'를 보유하고 있어 가이드를 이용하고 수익을 창출할 수 있는 위치에 있을 것으로 예상되었습니다. 풀즈는 PII를 도용하는 범죄자들이 사기 피해자의 이름, 주소, 생년월일, 사회보장번호, 운전면허 번호, 가족 구성원의 PII 및 기타 기타 정보(예: 범죄 또는 고용 기록)를 포함한 일련의 정보를 지칭하기 위해 사용하는 "전체 정보(" )의 속어입니다.

동일한 PUA 사기 수법을 사용하는 판매자는 추가 비용을 지불하고 이 정보를 별도로 판매하려는 경우가 많았습니다. 이는 이러한 유형의 사기 행위를 처음 접하는 범죄자들을 기꺼이 도와주는 선한 사마리아인으로 자신을 묘사하려는 벤더들의 시도에도 불구하고 재정적 성공이 여전히 근본적인 동기임을 보여줍니다.

실업-사기-범죄-지하-8-1.png
그림 8: 워싱턴과 매사추세츠에서 부정 청구 신청 방법을 논의하는 언더그라운드 포럼 회원
실업-사기-범죄-지하-9-1.png
그림 9: 매사추세츠주 실업 사기를 저지르기 위해 위조 신분증을 요청하는 언더그라운드 회원

실업 사기 타겟팅 및 어트리뷰션

2020년 5월, 보안 기업 아가리(Agari)의 연구진은 미국 전역에서 사기성 실업급여 및 CARES 법안 청구 사기를 저지른 나이지리아 사이버 범죄 그룹 'Scattered Canary'에 대한 조사 결과를 발표했습니다. Scattered Canary 사이버 범죄 그룹은 이메일 사칭과 피싱 등 사기 수법을 활용해 기업을 속여 가짜 계약서나 허위 청구서를 지급하도록 유도하는 종합적인 비즈니스 이메일 침해(BEC) 운영 조직입니다. Agari의 텔레메트리 데이터에 따르면, 대부분의 공격 대상은 미국 7개 주에 위치해 있었습니다: 플로리다, 매사추세츠, 노스캐롤라이나, 오클라호마, 로드아일랜드, 워싱턴, 와이오밍. Scattered Canary와 연관된 위협 행위자들이 선불 카드를 조합해 결제 수단으로 사용하고 대량으로 이메일 계정을 생성한 것으로 보고되었습니다:

아가리는 2020년 5월 현재 9개의 신분을 가진 텍사스 주 실업 수당을 표적으로 삼은 이 그룹이 관심을 갖고 있는 것으로 보고했습니다. 현재 레코디드 퓨처는 개별 주에서 스캐터드 카나리와 관련된 사기 청구 중 얼마나 많은 보험금이 지급되었는지에 대한 자세한 정보를 가지고 있지 않습니다. 그러나 주 실업 지원 정보를 판매하는 메시징 플랫폼에 업로드된 동영상을 검토한 결과, 서아프리카에 기반을 둔 운영자와 연관성이 있을 가능성이 있는 것으로 나타났습니다.

Recorded Future가 수집한 피해자 보고서에 따르면, 요청자들은 일반적으로 대상의 이름, 사회보장번호(SSN), 근무처를 알고 있었지만, 그 외의 모든 데이터는 고정되어 있습니다. Recorded Future에 보고된 일부 사례에서 요청자는 대상의 이름, 사회보장번호(SSN), 근무처를 알고 있으며, 이는 고위 경영진이나 고자산 개인을 표적으로 삼으려는 시도일 가능성이 높습니다. 이 기술은 Scattered Canary와 같은 위협 단체가 수행하는 BEC 캠페인에서 흔히 사용되는 방법입니다. 이 위협 단체는 Agari의 최고 재무 책임자를 대상으로 한 이메일에서 Agari의 임원을 사칭한 것으로, Agari가 처음 발견했습니다.

미국 내 사기성 실업수당 청구는 단일 위협 단체에서 발생했을 가능성이 없을 정도로 광범위하게 퍼져 있습니다. 위협 행위자들은 사기성 실업수당 청구가 금전적으로 미치는 영향에 대한 오픈 소스 보고를 통해 대담해졌을 가능성이 높습니다.

이 보고는 특히 비공개 소스 보고 내에서 유포되는 실업 사기에 초점을 맞추고 있지만, 운영 보안 유지와 무관한 일부 기회주의적 행위자들도 기존의 소셜 미디어 플랫폼에서 광고를 하는 것이 관찰되었습니다. 실업 사기 활동과 수백만 달러로 추정되는 손실에 대한 오픈 소스 보고가 대량으로 이루어지면서 지하 위협 행위자들의 관심과 동기가 높아졌을 가능성이 높습니다.

실업-사기-범죄-지하-10-1.jpg
그림 10: 실업 방법/자습서를 위한 소셜 미디어 광고

이러한 관심은 2020년 12월 초부터 주 및 지방 정부 차원에서 보고된 여러 통계에 반영되었습니다.

실업-사기-범죄-지하-11-1.png
그림 11: 2020년 11월 이후 언더그라운드의 실업 사기 광고에 언급된 주(출처: Recorded Future)

머니 뮬에 대한 의존도

불법 실업급여 사기 공급망에서 돈 세탁꾼(money mules)은 여전히 핵심 요소로 남아 있을 가능성이 높습니다. 이는 불법 실업급여 방법 판매자들이 지하 시장에서 업로드한 이미지들과 2020년 내내 의심되는 돈 세탁꾼들의 체포와 관련된 공개 자료 보고서에서 확인할 수 있습니다. 코로나19 팬데믹은 올해 배송 대행업체들이 사업 전략을 변경하도록 강요했습니다. 미국 비밀경호국(USSS)의 경고 보고서에 따르면, 이 서류 제출 사건의 배후에 있는 사기 조직은 올해 초 관찰된 대규모 신청서 제출을 위해 이미 상당한 양의 개인 식별 정보(PII) 데이터베이스를 보유하고 있었습니다. 또한 USSS는 해당 사기 네트워크가 수백 명의 자금 세탁 중간책으로 구성되어 있다고 밝혔습니다.

운반책은 상품을 한 장소에서 다른 장소로 물리적으로 이동해야 하거나 사기 자금을 계좌 간에 이동해야 하는 사기범에게 필수적입니다. 자금 운반책 사기의 경우, 사기범은 종종 개인을 모집하여 사기 거래에서 직접 입금을 받은 다음 불법 자금의 대부분을 가해자에게 전달하고 일정 비율을 노력에 대한 보상으로 남겨두기도 합니다. 실업 수당 사기 청구와 관련된 전국적인 체포 건수가 증가함에 따라 여러 사기범들이 해외 조직과 직접적인 연계 없이 독립적으로 활동할 가능성이 높다는 점도 명확해졌습니다.

실업-사기-범죄-지하-12-1.png
그림 12: 2020년 실업수당 사기 검거 일정(주요 뉴스 출처)(출처: Recorded Future)

완화 조치

2020년 5월 KrebsOnSecurity와 익명을 조건으로 인터뷰한 연방 사기 조사관은 많은 미국 주들이 사기성 실업급여 신청을 더 효과적으로 걸러내기 위해 필요한 통제 조치를 충분히 갖추지 못하고 있다고 밝혔습니다. 예를 들어, 동일한 IP 주소나 은행 계좌와 관련된 다중 신청을 확인하는 등의 방법이 포함됩니다. 조사관은 이어 미국 일부 주에서는 사기꾼들이 청구 처리를 위해 타인의 이름, 사회보장번호(SSN) 및 기타 기본 정보만 제출하면 된다고 설명했습니다. 조사관은 일부 기관에서 코로나19 팬데믹으로 인해 청구인의 이전 고용주에 대한 인증 목적의 질문 목록이 축소되거나 완전히 폐지되었다고 암시했다고 보고되었습니다.

각국은 이 형태의 사기 행위가 초래하는 위험에 대응하기 위해 자체적인 조치를 도입하기 시작했습니다. 매사추세츠주 등 일부 주 대표들은 이전에 추가적인 신원 확인 조치를 시행하기 시작했으며, 이로 인해 많은 실업급여 신청의 지급 시기가 일시적으로 지연될 것이라고 밝혔습니다. 이러한 조치로 인해 일부 실업급여 신청자는 신청의 적법성을 확인하기 위해 추가적인 신분 정보를 제출하도록 요청받을 수 있습니다.

직원이 실업 사기 사기의 희생양이 되었다고 의심되는 조직은 다음과 같은 조치를 취할 수 있습니다:

전망

실업 또는 보험금 청구 사기의 가장 중요한 요소는 피해자의 개인 정보에 대한 접근입니다. 이러한 유형의 정보는 다크웹 마켓플레이스, 상점 및 포럼에서 상당히 저렴한 가격에 접근하고 구매할 수 있으며, 지하 정보원에 계정을 설정할 수 있는 충분한 지식을 가진 사람이라면 누구나 이용할 수 있습니다. 이용 가능한 데이터만으로는 어떤 사기 유형이 가장 빈번하게 발생하고 있는지 파악하기 어렵습니다. 그러나 일부 대규모 데이터 덤프, 특히 널리 공개되고 쉽게 접근할 수 있는 데이터 덤프가 공개된 이후에도 PII에 의존하는 사기 활동은 계속 급증할 가능성이 높습니다.