Home > 전체기사
온라이너 스팸봇 뚫었더니 유럽 인구만큼의 이메일 주소 나와
  |  입력 : 2017-08-31 10:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
벤코우라는 ID 사용하는 연구원, 스팸봇 뚫어 데이터 50GB 획득
SMTP 서버 크리덴셜 유출된 것도 심각한 문제...스팸 방어 기술 무력화시켜


[보안뉴스 문가용 기자] 온라이너(Onliner)라는 이름이 붙은 스팸봇을 보안 전문가들이 역으로 뚫어내는 데 성공했다. 스팸봇이란 말 그대로 대규모 스팸 공격을 실시하는 봇이다. 뚫고 들어가 보니 무려 이메일 주소, 이메일/비밀번호 조합, SMTP 크리덴셜 및 환경설정 파일 등을 포함한 총 7억 1천 1백만 개의 기록들이 있었다. 비밀번호는 심지어 평문으로 저장되어 있었다고 한다. 연구원들은 유럽 인구 전체의 정보가 유출된 것과 다름없다고 비유한다.

[이미지 = iclickart]


온라이너는 2016년에 처음 등장한 것으로, 이전에는 어즈니프(Ursnif)라는 오래된 뱅킹 멀웨어를 퍼트리는 것으로 주목을 받았다. 온라이너 분석 및 공략에 가장 앞장 선 건 벤코우(Benkow)라는 ID를 사용하는 보안 연구원으로 온라이너를 수개월 동안 추적하며 연구했다. 그러던 중에 네덜란드에 호스팅 된 온라이너의 서버에서 오픈 디렉토리를 발견했고, 거기서부터 50GB가 넘는 데이터를 수집하는 데 성공했다. 이 데이터는 작년에 벌어진 각종 해킹 사고나 데이터 유출사고에서 나온 것이었다.

벤코우는 이 데이터에서 8천만 개의 크리덴셜을 찾아내기도 했다. 그러나 출처를 알아내기란 불가능에 가까웠다. 이 크리덴셜들 중 2백만 개는 페이스북에서의 피싱 공격으로부터 나온 것이고, 이메일 주소의 유출 여부를 확인해주는 온라인 무료 서비스인 해브 아이 빈 폰드(Have I Been Pwned)에도 등록되지 않은 것이라고 한다.

한편 2016년 한 해 동안 유출된 이메일 주소와 개인정보는 전부 10억 건이 넘는다. 그리고 이들 대부분은 대중에게 공개되거나 암시장에서 거래되면서 알게 모르게 퍼져나갔다. 온라이너 서버에 들어있던 정보들도 이런 경로로 수집된 것으로 보인다. 해브 아이 빈 폰드를 운영하는 트로이 헌트(Troy Hunt)는 “이메일 주소나 개인정보 등은 이제 일상적으로 거래되는 아이템일 뿐”이라며 “그것이 웹의 슬픈 현실”이라고 말한다.

“지금 이메일함을 열어보세요. 정상 이메일이 더 많은가, 스팸 이메일이 더 많은가. 비아그라 판매한다는 것에서부터 아프리카 옛 왕국의 숨겨진 보물 이야기까지... 어떻게든 속이고 빼앗으려는 악다구니가 우리의 현실이죠.”

그래도 최근엔 안티스팸 솔루션, 명성 관리 서비스, 방화벽 규칙 등이 도입되면서 스팸 공격자들은 기존의 방식 그대로 공격을 진행할 수 없게 되었다. 기존 방식이라고 하면 오픈 릴레이(Open Relay) 모드에서 돌아가거나 강력하지 않은 크리덴셜을 가지고 있는 취약한 SMTP 서버를 찾아 스팸 메일을 보내는 것을 말한다. 그렇기에 벤코우는 SMTP의 크리덴셜과 환경설정 정보가 유출되고 있었다는 사실이 특히 심각하다는 의견이다.

“요즘은 스팸 공격을 하려면 SMTP 크리덴셜이 대량으로 필요합니다. 이걸 어디서 구해야 할까요? 암시장에서 사거나 자신이 스스로 훔쳐내야 하죠. 스팸봇 운영자들이 이토록 많은 SMTP를 보유하고 있다는 건, 이 정도의 해킹 공격을 성공시켰거나 다크웹에서 이런 정보가 대량으로 유통되고 있다고 봐야 합니다. 심각한 문제죠. 스팸 메일이 계속해서 우리 메일함에 도착하는 이유이기도 하고요.”

벤코우는 자신이 발견한 것들을 트로이 헌트와 공유했고, 트로이 헌트는 해브 아이 빈 폰드 서비스를 업데이트했다. 이 과정에서 둘은 “겹치는 정보가 상당히 많다”는 걸 발견했으며, 그러므로 7억명의 피해자가 있을 것 같지 않다고 설명했다. “한 파일에는 1백 2십만 개의 이메일 주소와 평문 비밀번호가 들어있었습니다. 아마도 링크드인 유출 사고에서부터 나온 것으로 보입니다. 또 다른 파일에는 4백 2십만 개의 이메일 주소와 비밀번호가 들어 있었으며, 암시장에서부터 온 것이라는 흔적을 발견했습니다.”

이는 굉장히 양질의 정보라는 게 트로이 헌트의 설명이다. “제가 운영하는 해브 아이 빈 폰드의 경우 2년 반 동안 110건의 데이터 유출 사고를 통해 수집 한 분량이 약 7억 건 정도 됩니다. 그런데 그만한 분량이 이 서버 하나에 들어 있었어요. 아마도 많은 범죄자들이 여기에 접근해서 활용했겠죠. 보유한 정보의 차원에서 사이버 범죄자들과 보안 담당자들은 아직 경쟁 상대가 되지 않는 듯 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)