미국 법무부와 마이크로소프트(MSFT)가 주도한 국제 공조 작전을 통해 악명 높은 악성코드 서비스형 플랫폼 ‘루마(Lumma)’의 기반 인프라가 제압됐다. 이번 조치는 수십만 개의 시스템에서 개인정보를 탈취한 루마의 활동을 중단시키는 데 핵심적인 전환점이 될 것으로 평가된다.
루마는 2022년 12월 처음 모습을 드러낸 이후, 손쉬운 배포 방식과 값싼 구독 요금제를 무기로 빠르게 사이버 범죄자들의 공략 도구로 떠올랐다. 월 250달러(약 36만 원)에서 최대 2만 달러(약 2,880만 원)에 달하는 요금제를 갖춘 루마는, 숙련도가 낮은 공격자도 첨단 공격을 시도할 수 있도록 지원하면서 전 세계적으로 광범위한 피해를 초래했다. 특히 해당 악성코드는 브라우저 자격증명, 암호화폐 지갑, Discord, Steam과 같은 플랫폼의 세션 토큰까지 다양하게 탈취하는 데 이용됐다.
루마의 배포는 이메일 피싱, 악성 소프트웨어 설치 파일, 광고 기반 유포 등 다채로운 방법을 활용했다. 특히 지난해 11월 공개된 루마C2 v4.0 버전은 자동 분석을 피하기 위해 삼각함수 기반의 마우스 움직임 탐지 기술을 사용하는 등 매우 정교한 회피 기법까지 도입한 것으로 알려졌다. 이외에도 흐름 평탄화, XOR 기반 암호화, 동적 구성 파일 등 각종 난독화 기술을 통해 탐지를 회피하는 기능도 탑재됐다.
SOCRadar의 최고정보보안책임자(CISO) 엔사르 세커는 “루마 처리기의 인프라 제거는 서비스형 악성코드(MaaS)의 범람에 대응하는 데 있어 매우 중요한 이정표”라고 평가했다. 그는 올 3~5월 사이에만 전 세계 약 40만 대의 윈도우 시스템에서 루마를 통한 정보 유출이 발생했다고 밝혔다.
하지만 전문가들은 이번 대응이 일시적인 성과에 그칠 수 있다는 점을 우려한다. 악성코드 커뮤니티의 성격상 하나를 차단하면 유사한 변종이나 새로운 공격자가 빠르게 나타나기 때문이다. 사이버 보안 기업 Ontinue의 리스 다우닝 연구원은 “루마는 전술도, 구조도 매우 유연하다”며 “제압 이후에도 새로운 이름, 새로운 배포 경로, 새로운 인프라로 재등장할 가능성이 높다”고 경고했다.
이번 루마 해체 작전은 사이버 범죄 대응의 모범 사례로 남을 수 있지만, 그 여파가 오래갈지는 미지수다. 단기 성과에 만족하기보다는 지속적 감시와 신속 대응 체계를 병행해야 루마와 같은 사이버 위협을 실질적으로 억제할 수 있다는 것이 보안 전문가들의 공통된 목소리다.