세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
국제 공조로 대규모 안드로메다 봇넷 폐쇄 성공
  |  입력 : 2017-12-05 16:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
벨라루스서 관련자 1명 체포...각종 도메인과 IP 주소, 멀웨어도 무력화
대규모 범죄 네트워크, 항상 되살아나...안드로메다도 그럴 것 예상돼


[보안뉴스 문가용 기자] 무려 한 달에 1백 1십만 대가 넘는 컴퓨터들을 감염시키던 봇넷이 1년이 넘는 국제 공조를 통해 무너졌다. 이번 작전에 참가한 건 FBI, 유로폴의 유럽사버범죄센터(ECC), 합동사이버범죄대책기구(J-CAT), 유럽사법기구, 독일의 뤼네부르크 범죄수사센터, 마이크로소프트, ESET이다. 이 봇넷의 이름은 안드로메다(Andromeda) 혹은 가마루(Gamarue)이며, 세계에서 가장 큰 봇넷 중 하나다.

[이미지 = iclickart]


안드로메다 봇 혹은 가마루는 다크웹에서 판매되고 있는 봇넷 서비스다. 트로이목마 다운로더 크라임웨어 키트 형태로 지난 6년 동안 절찬리에 판매되었다. 사이버 공격을 원하는 이들 중 멀웨어를 퍼트리고 싶어 하는 부류들이 주로 활용해왔다. 한 마디로 커다란 범죄용 사이버 인프라였던 것.

국제 공조팀은 약 1500개의 도메인과 IP 주소들을 해제시켰다. 당연히 안드로메다 봇넷 활동과 관련이 있는 것들로, 주로 C&C 서버에 활용된 것으로 밝혀졌다. 또한 안드로메다를 구성하던 하위 봇넷 464개와, 안드로메다를 통해 퍼지던 멀웨어 패밀리 80여개를 무력화시키기도 했다. 80여개 멀웨어 중에는 페트야(Petya), 케르베르(Cerber) 등의 랜섬웨어와 뉴트리노(Neutrino)와 같은 디도스 공격용 멀웨어, 레식(Lethic)이라는 스팸 봇 멀웨어 등도 포함됐다. 정보 탈취용 멀웨어인 어즈니프(Ursnif), 카르버프(Carberp), 파레이트(Fareit)도 무사하지 못했다.

이번 작전에 참여한 마이크로소프트에 의하면 이번 작전으로 드러난 ‘피해 IP 주소’는 223개국에 걸쳐 발견되었으며 그 수는 2백만이 넘는다고 한다. 벨라루스에서는 안드로메다와 관련이 있는 듯한 인물이 한 명 체포되기도 했다. 하지만 해당 인물에 대한 상세한 정보는 아직까지 공개되지 않고 있다.

하지만 국제 공조로 인한 사이버 범죄 조직이나 인프라의 소탕은 거의 항상 ‘미완성’으로 끝났다. 즉, 누군가 새롭게 인프라를 구축하거나 체포된 인물의 뒤를 이어 범죄 활동을 다시 시작했다는 것이다. 이번에 없어진 안드로메다 봇넷 역시 언젠가 다시 나타날 것으로 예상된다. 범죄 규모는 전 세계적인데, 체포된 사람은 1명 뿐이라 이러한 예상이 더욱 힘을 얻는다.

“또한 멀웨어가 키트 형태로 지하 포럼에서 여러 사람에게 판매되었기 때문에 안드로메다 버전 2가 언제고 다시 등장할 수 있습니다. 이름이야 달라질 수 있겠지만요. 그렇다고 이번 공조가 의미 없는 건 아닙니다. 현재진행형인 범죄 행위를 근절했고, 일단 한 명이라도 관련자를 체포하는 데 성공했으니까요. 처음부터 대형 봇넷을 다시 시작하는 게 쉬운 일은 아니죠.” 이셋의 수석 보안 전문가인 장-이안 부틴(Jean-Ian Boutin)의 설명이다. “가까운 미래에 봇넷이 부활한다? 지금과 같은 성공을 다시 한 번 거두면 됩니다.”

안드로메다는 광범위하게 퍼진 멀웨어 배포용 네트워크로 2011년부터 활동을 시작해 이미 수백에서 수천만 대의 컴퓨터들을 감염시켰다. “아무리 봇넷이 흔하다고 해도 이 정도 규모의 봇넷마저 흔한 건 아닙니다. 그러니 이번 작전은 충분한 의미를 갖습니다.”

한편 유로폴의 사이버범죄센터장인 스티븐 윌슨(Steven Wilson)은 또 다른 측면에서 이번 작전의 의미를 찾는다. “수사기관, 사법기관, 민간 업체가 함께 사이버 범죄 수사 작전에 참여해 힘을 모았다는 것 역시 좋은 경험이 됩니다. 그것도 전 세계적인 규모로 말이죠. 국제적으로 하나의 목표를 정하고 힘을 합하는 게 생각보다 쉽지 않은 일이고, 과거에는 불가능에 가까울 정도로 난이도가 높은 일이었습니다. 언어나 행정 절차가 판이해 공조라는 게 말처럼 쉬운 일이 아니었죠. 이번 작전 성공을 통해 우리는 민관이 힘을 합했을 때, 세계가 손을 모았을 때 어떤 힘을 발휘할 수 있는지 알게 되었습니다. 큰 소득입니다.”

안드로메다는 주로 크리덴셜을 훔치고 추가 멀웨어를 피해자 시스템에 장착하는 기능을 담당해왔다. 또한 안드로메다 봇넨 멀웨어는 커스터마이징이 가능해 사이버 범죄자들이 필요에 따라 다양한 기능을 추가해 활용하기도 했다. 크라임웨어 키트의 경우 하나에 150 달러 정도였는데, 이 속에는 다양한 플러그인들이 포함되어 있기도 하다. 안드로메다 멀웨어는 주로 소셜미디어나 인스턴트 메시징, USB, 스팸, 익스플로잇 키트를 통해 퍼진다.

이 안드로메다 멀웨어의 재미있는 점은 키보드의 언어 설정을 확인한다는 것이다. 벨라루스어나 러시아어, 우크라이나어나 카자흐스탄어가 발견되면 멀웨어가 공격을 진행하지 않는다. 또한 백신 시스템이나 멀웨어 분석 환경에서도 알아서 작동을 멈춘다. “가상 기계나 샌드박스에서는 기능을 발휘하지 않는다는 것이죠.”

마이크로소프트는 이 안드로메다 멀웨어에 대해 “방화벽, 윈도우 업데이트 기능, 사용자 계정 통제 장치를 전부 비활성화 시킨다”고 말하며 “멀웨어가 완전히 제거될 때까지 동작하지 않는다”고 설명했다. “다만 윈도우 10이 설치된 기계일 경우, OS를 변경하거나 조작하는 건 불가능하게 됩니다.” 한편 안드로메다에 가장 많이 당한 국가는 인도와 인도네시아인 것으로 밝혀졌다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술