보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

국제 공조로 악명 높은 이모텟 봇넷 무력화 돼

  |  입력 : 2021-01-28 12:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
전 세계 여기 저기에 공격용 서버를 갖춘 이모텟 봇넷은 사이버 공격자들의 숨통을 트이게 해 주고, 반대로 방어자들을 숨 막히게 만들었던 위협 요소다. 그 이모텟이 국제적 공조로 폐쇄되기에 이르렀다. 완전하지는 않아도 나쁘지 않은 성과다.

[보안뉴스 문가용 기자] 국제 사법기관들의 공조로 이모텟(Emotet)의 공격 인프라가 무력화 됐다. 이모텟은 현재 가장 위험한 봇넷을 구성하고 있으며, 각종 멀웨어와 랜섬웨어를 퍼트리는 매개체로서 존재감을 뽐내고 있다. 이 공조에 참여한 건 유로폴, FBI, 영국 NCA를 비롯해 캐나다, 프랑스, 독일, 리투아니아, 네덜란드, 우크라이나 경찰 기관들이라고 한다.

[이미지 = utoimage]


이모텟은 전 세계 곳곳에 악성 서버를 수백 개 두고 있는 거대 봇넷이다. 이 서버들은 서로 다른 기능을 가지고 있기까지 하다. 어떤 서버들은 이모텟을 퍼트려 새로운 봇들을 계속해서 편입시키고, 어떤 서버들은 기존 봇들을 관리하며, 어떤 서버들은 다른 범죄 단체들에 대여되는 식이다.

유로폴의 발표에 의하면 이런 이모텟을 “내부에서부터 폐쇄시키고 인프라 전체에 대한 제어 권한을 가져올 수 있었다”고 한다. 현재 이모텟에 감염된 봇들은 원래처럼 이모텟 C&C에 연결되는 것이 아니라 경찰이 장악하고 제어하는 인프라로 우회 접속된다고 한다.

이모텟은 2014년 제일 처음 발견됐다. 그 당시는 일종의 뱅킹 트로이목마였다. 하지만 시간이 지남에 따라 이모텟은 다른 멀웨어를 퍼트리는 다운로더 및 봇넷으로 변모했다. 공격자들이 이모텟을 다른 범죄자들에게 대여하는 편이 더 수익이 높다는 것을 알아채고 사업 방향을 바꾼 것으로 보인다. 보안 업체 프루프포인트(Proofpoint)의 크리스 도슨(Chris Dawson)은 “그러면서 악성 이메일을 통해 대량 배포되기 시작했다”고 설명한다.

“그러면서 이모텟은 서서히 각종 사이버 공격의 기본 바탕이 되기 시작했습니다. 일단 이모텟을 이용해 침투한 뒤 실제 마음먹었던 공격을 가하는 식으로 사이버 범죄 전략이 변하기 시작했다는 겁니다. 기본 레시피가 된 것이죠. 그래서 이모텟 감염이 이뤄진 곳에서는 다른 정보 탈취형 멀웨어나 랜섬웨어가 퍼지는 사례가 자주 발견됐습니다.” 도슨의 설명이다.

상업화의 길을 걷게 되자 이모텟은 여러 번의 업그레이드를 거쳤고, 따라서 사이버 공간 상에 여러 버전이 존재하게 되었다. 결국 이모텟은 모듈 구성을 갖추게 되었고(버전은 더 많아졌고) 이 때문에 방어자들이 이모텟을 탐지해 차단하는 게 더 어려워졌다. 운영자들은 C&C 서버를 보다 적극적으로 운영해 여러 버전들에 필요한 업데이트를 보냈다. 다변화 된 이모텟으로 최초 침투에 성공한 후, 확보된 접근 권한을 타 범죄자들에게 판매하는 것이 운영자들의 주된 사업 아이템이었다.

보안 업체 카스퍼스키(Kaspersky)의 커트 바움가트너(Kurt Baumgartner)는 “사이버 범죄자들에게 있어 가장 큰 고민은 ‘최초 침투’인데, 이모텟 운영자들이 이를 잘 파고들었다”고 설명한다. “각종 무기를 돈만 주고 살 수 있는 시대라고 하지요. 하지만 좋은 무기들을 확보하는 것과, 실제 활용하는 것은 전혀 다른 문제입니다. 특히 초보 범죄자들에게는 말이죠. 그걸 해결해 준 것이 이모텟이고, 그래서 이모텟은 대단히 위협적인 존재입니다.”

네덜란드국립경찰은 이모텟을 추적하는 과정에서 공격자들이 훔친 이메일 주소, 사용자 이름, 비밀번호의 데이터베이스를 확보하는 데 성공했다며 “피해자들이 확인해 볼 수 있도록 웹사이트를 마련했다”고 발표했다. 이 웹사이트는 여기(https://www.politie.nl/themas/controleer-of-mijn-inloggegevens-zijn-gestolen.html)서 접속이 가능하다. 페이지 하단에 메일 주소를 입력하면 결과가 나온다. 다만 네덜란드어로 나오기 때문에 번역이 필요하다.

이전에 이모텟에 감염된 장비들의 경우 현재 경찰들이 제어하고 있는 인프라로 접속된다. 즉, 지금 상태로는 범죄에 활용되기가 어렵다는 것이다. 이모텟의 확산도 지금 상태로서는 이뤄지기가 어렵다. 그러나 이모텟이 이것을 통해 영원히 사라졌다고 결론을 내리기는 어렵다. 그렇기에 국제 공조는 더 이어질 것이라고 한다. 올해 말까지 감염된 호스트들로부터 ‘언인스톨’ 작업을 진행할 것이라는 게 경찰들의 계획이다.

하지만 바움가트너는 “이러한 노력이 장기적으로 어떤 효과를 거둘지는 더 두고 봐야 한다”고 말한다. “부정적으로 볼 필요도 없고, 반대로 너무 환호할 필요도 없습니다. 이런 대규모 공습을 겪고도 다시 살아난 사례들은 얼마든지 있기도 하고, 이번 공조가 연말까지도 이어질 거라고 하니 새로운 사례가 될 수도 있습니다. 국제 공조란 것 자체도 처음에는 대단히 어려웠고, 잡음만 나왔는데 점점 나아져 현 단계에 이른 것이죠.”

3줄 요약
1. 현재 가장 큰 사이버 위협 요소 중 하나인 이모텟, 국제 공조로 폐쇄됨.
2. 지금 상태로는 운영은커녕 추가 확산도 하기 힘든 상황.
3. 그러나 완전히 사라졌다고 결론 내리기는 일러, 조금 더 두고 봐야 할 듯.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북