갑자기 활동량 뚝 떨어졌던 모지 봇넷...알고 보니 수수께끼 같은 킬스위치가 있었다

요약 : 보안 외신 해커뉴스에 의하면 모지(Mozi)라는 IoT 봇넷의 활동이 지난 8월부터 급작스럽게 중단됐다고 한다. 정체를 알 수 없는 킬스위치가 발동된 것으로 현재까지 파악되고 있다. 보안 업체 이셋(ESET)에 의하면 8월 8일 인도에서 모지 활동이 갑자기 중단되더니 같은 달 16일에 중국에서도 모지가 사라졌다고 한다. 이상한 페이로드 하나가 모지 봇들로부터 악성 기능들을 삭제한 까닭이었다고 이셋은 밝혔다. 다만 모지 봇들 자체를 완전히 없앤 건 아니었고, 기능만 삭제한 거라 모지는 현재 존재하고 있기는 하다고 이셋은 경고했다.


배경 : 모지는 IoT 장비들을 집중적으로 감염시켜 봇넷을 만드는 멀웨어다. 비슷한 종류의 멀웨어인 가프짓(Gafgyt)이나 미라이(Mirai)와 여러 가지 면에서 유사하다. 2019년에 처음 발견됐으며, 취약점을 익스플로잇 하거나 약한 비밀번호를 크래킹하는 방식으로 장비를 장악한다. 2021년 9월 모지 운영자가 중국에서 체포되는 일이 있었으나 모지 멀웨어는 활동을 이어갔다. 그러다가 8월부터 갑자기 조용해진 것이다. 그 이유가 계속 수수께끼로 남아있었다.

말말말 : “원래 모지를 처음 만들고 운영했던 또 다른 인물이 킬스위치를 만들어 급하게 배포하는 것일 수도 있고, 중국 당국이 체포된 인물을 통해 모지의 위협을 다스리고 있는 것일 수도 있습니다.” -이셋-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>