Home > 전체기사
네커스 봇넷의 시대는 가고 이모텟의 시대가 오고 있다
  |  입력 : 2020-01-29 11:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2012년부터 범죄자들 사이에서 인기 높았던 봇넷...대여 사업도 활발
하지만 고급 표적 공격이 유행하기 시작하면서 이모텟의 인기가 더 높아져


[보안뉴스 문가용 기자] 사이버 범죄자들이 1월 중순부터 네커스(Necurs) 봇넷을 활용한 각종 스팸 캠페인을 벌여오고 있다. 분석해보니 공격자들의 실력과 숙련도가 크게 떨어지고 있다는 것이 드러났다. 네커스 환경에서는 치명적이면서도 고급스러운 악성 페이로드가 활용되는 비율은 낮아지고 있고, ‘아마추어스러운’ 공격이 대다수를 차지하고 있다는 게 분석가들의 결론이다.

[이미지 = iclickart]


IBM의 엑스포스(X-Force) 팀 내 전문가들은 “네커스를 활용하기 위한 장벽이 낮아지고 있기 때문”이라고 설명하며 “사이버 공격자들이 ‘기술’보다 ‘전략’에 더 치중하기 시작했다”고 말한다. “전략적으로 공략하는 것이, 뛰어난 기술을 개발하는 것보다 훨씬 더 효율적이거든요.”

네커스는 스팸과 멀웨어를 주로 배포하는 데 사용되는 봇넷으로, 2012년 처음 발견된 이후부터 지속적인 위협으로서 존재해왔다. 스팸 필터 기술을 피하는 데 특화된 모습을 보였기 때문에 공격자들 사이에서 인기가 높았다. 네커스를 통해 게임오버 제우스(GameOver Zeus), 드리덱스(Dridex), 로키(Loki), 트릭봇(TrickBot)과 같은 멀웨어가 퍼져나갔다.

그러나 영원한 유행은 없는 법. 보다 정밀화 된 표적화 공격과, 네트워크 내 보다 깊숙하게 들어갈 수 있는 안정적인 접근점을 원하는 공격자들이 늘어나면서 네커스는 서서히 밀려나기 시작했다. 그런 범죄자들의 요구를 충족시켜주는 건 이모텟(Emotet)이다. 원래 은행용 멀웨어였으나, 봇넷으로 진화했다. 네커스는 이런 흐름을 따라가는 데 실패했다.

최근 수천만 통의 이메일이 네커스 봇넷으로부터 전송되는 일이 있었다. IP주소를 추적했더니 가장 많은 메일이 발송된 곳은 칠레, 리투아니아, 인도였다. 피해자들에게는 한 웹사이트로 연결되는 링크가 전송됐는데, 이메일 내용은 ‘비트코인 거래를 통해 빠르게 부자가 되는 법’이었다. 이 때문에 많은 사람들이 링크를 클릭했고, 그 과정에서 멀웨어가 심겨지는 일을 겪었다.

네커스가 한 물 갔다고 평가했던 보안 전문가들은 이 캠페인에서도 그러한 증거를 찾을 수 있다는 입장이다. “비트코인 투자를 미끼로 한 악성 메일은 지난 몇 년 동안 지속적으로 발견되어 온 겁니다. 사용된 멀웨어도 그렇고, 이런 전략들마저 어설프죠. 고급 공격과는 거리가 멉니다. 다만 메일 양 자체는 어마어마했습니다. 고급 기술이나 전략이 아니라 양으로 승부를 보고자 하는 공격자들 사이에서는 네커스가 아직 가치가 있다는 뜻입니다.”

봇넷은 ‘대여’가 가능하다는 특징도 가지고 있다. 봇넷을 굳이 공들여 구축하지 않아도 돈만 내면 간단하게 다른 사람의 봇넷 일부를 사용할 수 있게 시장이 형성되어 있다는 것이다. 심지어 봇넷을 가지고 디도스 공격, 스팸 이메일 캠페인 등의 공격을 대행해 주는 서비스도 존재한다. 네커스도 이런 사업 아이템으로서 활용되어 왔다. 하지만 점점 더 스팸 쪽으로의 사업만 활성화 되고 있다고 전문가들은 말한다.

네커스의 가시적인 몰락의 배경과 맞물려 이모텟의 상승세에 주목해야 한다고 엑스포스 팀은 강조한다. “지난 2년 동안 드리덱스와 트릭봇, 아이스드아이디(IcedID) 개발자들은 전부 네커스를 떠나 이모텟 환경으로 이주했습니다. 하나가 뜨면 하나가 지고, 하나가 지면 하나가 뜨는 게 봇넷 시장에서는 너무나 분명하게 나타나는 현상입니다.”

또한 뱅킹 트로이목마를 주로 사용해오던 공격자들이 표적화 된 랜섬웨어 공격을 선호하기 시작했다는 것도 네커스 몰락으로부터 읽을 수 있는 시장의 흐름이다. “따라서 공격자들은 자신들이 원하는 네트워크에 대한 침투 경로를 이미 갖추고 있는 봇넷을 찾게 되죠. 네커스는 그런 면에서 이모텟에 자리를 내 줄 수밖에 없었던 것 같습니다.”

네커스가 대량으로 스팸 캠페인을 반복적으로 실시해온 것도 독으로 작용했다. “이제는 다량의 스팸 캠페인은 보안 솔루션에 잘 탐지됩니다. 게다가 그 IP 주소들까지 추적돼 블랙리스트 처리를 당하죠. 반면 이모텟은 침투한 네트워크 내에 조용히 머무릅니다. 그러면서 이메일을 읽고 각종 정보를 조용히 수집해 전략을 짤 수 있도록 하죠. 훨씬 더 교묘하고 정교합니다.”

심지어 이모텟 환경에서 범죄자들 간 협업도 활발하게 일어나고 있다. 그러면서 네커스 생태계에서는 얻을 수 없는 장점들이 발생하기 시작했다. “예를 들어 트릭봇과 아이스드아이디 운영자들은 2018년부터 협업을 하기 시작했습니다. 그러면서 두 단체는 네커스에서 나와 이모텟으로 옮겨 터를 잡았고, 금융권을 겨냥해 정밀한 표적 공격을 실시할 수 있게 됐습니다.”

그렇다고 네커스가 완전히 사라진 것은 아니라고 엑스포스 팀은 마무리 한다. “봇넷은 언제고 다시 부활할 수 있습니다. 사이버 범죄 시장 내에서 유행은 계속해서 돌고 도는 것이기도 하고요. 네커스가 지난 8년 동안 사이버 범죄자들을 육성해왔다는 점은 변치 않는 사실이고, 그 만큼 튼튼하고 안정성이 있다는 것은 커다란 장점입니다.”

3줄 요약
1. 암시장에서 네커스 봇넷은 가라앉고 이모텟은 떠오르는 중.
2. 네커스는 저급의 스팸 캠페인에서만 활용되고 이모텟은 고급 표적 공격 캠페인에 적합.
3. 하지만 네커스는 안정성이라는 커다란 장점 가지고 있어 다시 부활할 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)