미국과 유럽 사법당국이 국제 공조를 통해 암호화폐 계정 탈취 등 각종 금융 사기에 이용된 사이버 범죄 네트워크 '삭스에스코트'(SocksEscort)를 소탕했다.
13일(현지시간) 미국 법무부(DOJ)와 유럽연합 경찰기구(유로폴)에 따르면 각국 수사기관은 공조 수사를 통해 사이버 범죄자들이 신원 은폐에 사용하던 악성 프록시 서비스 삭스에스코트를 와해시켰다.
이들은 전 세계 163개국에서 최소 36만9000대에 달하는 라우터 등 인터넷 연결 기기를 악성코드에 감염시킨 것으로 드러났다. 이후 감염된 기기를 프록시 서버로 만들어 범죄자들의 실제 IP 주소를 숨기는 데 사용했다.
해당 플랫폼은 2020년부터 은행 사기, 암호화폐 계정 탈취 등 다양한 범죄에 활용됐다. 검찰이 밝힌 한 사례에서는 뉴욕의 한 피해자가 약 100만달러(약 14억4000만원) 상당의 암호화폐를 도난당하기도 했다.
수사 당국은 이번 작전을 통해 34개 도메인을 압수하고 7개국에 걸쳐 있는 서버 약 24대를 폐쇄했다. 또한 범죄 수익으로 추정되는 약 350만달러(약 50억원) 상당의 암호화폐를 동결 조치했다.
유로폴에 따르면 범죄자들은 암호화폐를 이용해 익명으로 결제할 수 있는 플랫폼을 통해 이 프록시 서비스를 구매했다. 수사관들은 삭스에스코트가 이용자들로부터 최소 500만유로(약 570만달러·약 82억원)의 수익을 올린 것으로 추정했다.
캐서린 드 볼 유로폴 사무총장은 "삭스에스코트와 같은 프록시 서비스는 범죄자들에게 공격 감행, 불법 콘텐츠 유포, 탐지 회피에 필요한 디지털 은신처를 제공한다"고 지적했다. 이어 "이번 작전은 수사관들이 국제적으로 단서를 연결하면 사이버 범죄의 배후 인프라를 노출시키고 폐쇄할 수 있음을 보여준다"고 덧붙였다.
이번 소탕 작전에는 오스트리아, 프랑스, 네덜란드, 독일, 헝가리, 루마니아, 미국 등 각국 사법기관이 참여했다. 미국에서는 연방수사국(FBI) 새크라멘토 지부, 국방부 감찰관실 산하 국방형사수사대(DCIS), 국세청 범죄수사부(IRS-CI) 오클랜드 지부 등이 수사에 나섰다.
한편 IT 전문매체 해커뉴스에 따르면 삭스에스코트는 '에이브이레콘'(AVrecon)으로 알려진 악성코드를 기반으로 운영됐다. 이 악성코드의 세부 정보는 2023년 7월 미국 통신사 루멘 테크놀로지스의 위협 정보 부서인 블랙 로터스 랩스가 공개한 바 있다.