봇넷 멀웨어인 지로더가 사이버 공간에서 자취를 감췄다. 여러 업체들이 추적해 주요 도메인들과 백업 도메인을 모조리 셧다운시켰기 때문이다. 랜섬웨어 유포 경로 하나가 사라진 것인데, 사실 조금 있으면 다시 부활할 것으로 보인다.

[보안뉴스 문가용 기자] 마이크로소프트의 보안 연구원들과 여러 보안 업체들이 합동으로 지로더(Zloader)라는 악성 봇넷에 묶여 있던 도메인 65개를 폐쇄시키는 데 성공했다. 그 외에도 지로더 내에 삽입된 도메인 생성 알고리즘(DGA)으로 만들어진 319개 백업용 도메인들 역시 이번에 함께 압수할 수 있었다고 한다. 이 작전에 이셋(ESET), 팔로알토 네트웍스(Palo Alto Networks), 블랙 로터스 랩스(Black Lotus Labs)가 참여했다.


“이번 작전의 목표는 지로더 봇넷을 구성하고 있는 사이버 범죄용 인프라를 무력화시키는 것이었습니다.” 마이크로소프트 디지털 범죄 부문 총괄인 에이미 호간버니(Amy Hogan-Burney)의 설명이다. “하지만 지로더는 운영자들에게 있어 일종의 사업 아이템이었습니다. 쉽게 포기할 수 있는 것이 아니죠. 그렇다는 건 지금 당장 무력화 된 것처럼 보여도 되살아날 가능성이 있다는 겁니다. 그래서 이번 작전에 참여한 업체들은 계속해서 지로더 봇넷 관련 활동들을 모니터링 할 계획입니다.”

지로더는 2019년 11월 처음으로 보안 업계의 레이더에 포착된 멀웨어다. 원래는 뱅킹 멀웨어였고, 이전에 악명을 떨쳤던 제우스(Zeus) 뱅킹 트로이목마의 계열로 분석됐었다. 당시에는 다크웹에서 사일런트나이트(Silent Night)라는 이름으로 판매됐었고, 온라인 뱅킹 계좌 및 관련 정보를 훔치는 기능을 탑재하고 있었다.

현재로 넘어와 사일런트 나이트는 지로더라는 이름의 봇넷 멀웨어로 진화한 상태이고, 사이버 범죄자들은 여러 가지 방법으로 지로더를 유포하는 중이다. 이셋이 추적한 바에 의하면 공격자들은 익스플로잇 킷을 사용하기도 하고, 코로나를 주제로 한 피싱 이메일을 활용하기도 했으며, 각종 성인 사이트와 구글 광고를 악용하기도 했다고 한다. “그리고 온라인 뱅킹 관련 데이터를 넘어 브라우저 데이터, 암호화폐 지갑 주소, 키스트로크도 훔치고, 원격 제어와 명령 실행까지도 가능한 멀웨어로 업그레이드가 되었습니다.”

그 업그레이드 중 가장 눈에 띄는 건 추가 멀웨어를 다운로드 하는 기능이다. 사이버 공격자들은 이 기능을 통해 자신들이 미리 감염시켜 둔 시스템에 각종 멀웨어를 입맛대로 심을 수 있게 되었다. 그리고 대부분은 랜섬웨어를 선택했다. 주로 다크사이드(DarkSide)와 류크(Ryuk)와 같은 랜섬웨어들이 지로더를 통해 퍼졌었다. 지난 2년 동안 발생한 랜섬웨어 사건들 중 적잖은 수가 지로더로부터 출발했다고 한다.

MS는 처음에 윈도 고객들을 보호하려고 지로더를 추적했다가 여러 업체들 및 사법 기관의 협조를 받아 결국 지로더를 폐쇄하기에 이르렀다. “이런 종류의 작전을 수행한다는 건 여러 기능을 가진 조직들과 연계하여 움직인다는 뜻입니다. 정보 공유와 협업, 서로 간의 점검과 확인 절차를 거쳐야만 가능한 것이죠. 서로 간의 신뢰가 매우 중요한 사안이죠.” 이셋의 보안 첩보 분석가인 알렉시스 도래용카(Alexis Dorais-Joncas)의 설명이다.

기술적인 측면에서도 이러한 작전은 꽤나 난이도가 높다고 한다. 지로더의 경우 고객(혹은 파트너)들이 자신들만의 독립적인 봇넷을 구성하도록 하고 있기 때문에 무력화시키는 일이 매우 번거롭고 복잡하게 진행될 수밖에 없었다. “지로더를 무력화시킨다는 것 자체가, 세상에 이미 존재하는 여러 지로더 봇넷을 전부 무력화 해야 성립되는 말이죠. 더 나아가 작전을 실행하는 동안 계속해서 새롭게 추가되는 봇넷들까지도 식별해 없애야 하고요.”

그래서 이셋은 자사 엔드포인트 보안 기술을 활용해 새로운 지로더 샘플들을 자동으로 수집하기 시작했다. 또한 그 샘플들로부터 C&C 관련 정보들을 추출함으로써 지로더의 현황과 분포도를 실시간으로 파악할 수 있도록 했다. 이러한 정보를 이번 작전에 참여한 다른 업체들이 수집한 정보와 합쳤을 때 보다 정확하고 전체적인 ‘지로더 봇넷 지도’를 완성시킬 수 있었다는 게 도래용카의 설명이다. “유능한 파트너들과 함께해야 하는 이유를 확실히 느꼈습니다. 앞으로도 좋은 관계를 유지하며 더 많은 범죄 인프라를 무력화시킬 예정입니다.”

보안 업체 발틱스(Valtix)의 수석 보안 연구원인 데이비스 맥카시(David McCarthy)는 “이번 작전 자체로서는 매우 성공적이었다고 볼 수 있다”고 말한다. “하지만 장기적인 효과를 보장할 수는 없습니다. 공격자들은 보통 무력화된 공격 인프라를 부활시키고, 다시 활동하기 때문이죠. 게다가 새롭게 태어는 인프라는 기존의 약점들을 보완한 채 나타나는 게 보통입니다. 대표적인 사례가 트릭봇(TrickBot)입니다. 몇 년 전에는 공조 자체가 힘든 일이었고, 결국 극복해냈습니다. 이제 보안 업계는 공조의 효과를 오랜 기간 지속시키는 숙제를 해결해야 하는 상황입니다.”

3줄 요약
1. MS, 이셋, 팔로알토 네트웍스, 블랙 로터스 등 참여해 지로더 봇넷 무력화.
2. 지로더는 2019년 처음 뱅킹 멀웨어로 출발했으나 지금은 다목적 봇넷 멀웨어.
3. 지로더 부활 가능성 높으므로 장기적인 대책 마련도 해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>