요약 : 보안 외신 해커뉴스에 의하면 새로운 봇넷이 출현해 이미 100개국에서 30만 번 이상의 디도스 공격을 실행했다고 한다. 이 봇넷의 이름은 고릴라(Gorilla)이며, 고릴라봇(GorillaBot)이라고 불리기도 한다. 일종의 미라이(Mirai) 변종이다. 보안 업체 엔에스포커스(NSFOCUS)에서 지난 달 처음 발견했는데, 9월 4일부터 27일 사이에 어마어마한 양의 공격이 고릴라로부터 발생했다고 한다. 이 기간 동안 최소 2만 번 이상의 디도스 공격 관련 명령이 매일 이 고릴라를 통해 전송되고 또 실행됐다는 게 엔에스포커스의 증언이다. 대학, 정부 기관, 통신사, 은행, IT 업체 , 도박 업체 등이 주로 당했고, 중국, 미국, 캐나다, 독일이 가장 많이 시달렸던 것으로 조사됐다.


배경 : 미라이는 최초의 사물인터넷 봇넷으로 유명한 멀웨어이다. 2016년 소스코드가 유출되면서 미라이 자체는 사라졌으나 변종들이 수년 째 활개를 치고 있다. 최근 등장하는 봇넷 멀웨어들은 거의 대부분이 미라이에 뿌리를 두고 있다고 봐도 과언이 아니다. 이런 봇넷들은 미라이가 그랬듯이 디도스 공격에 특화되어 있는 게 보통이다. 최근 공격자들은 디도스 공격을 보다 전략적으로 활용한다.

말말말 : “이 봇넷에는 아파치 하둡(Apache Hadoop)의 취약점을 익스플로잇 하는 기능도 포함되어 있습니다. 이를 통해 원격 코드 실행 공격도 할 수 있습니다. 다만 이 기능이 실제 활용되었는지는 아직 더 조사해봐야 알 수 있습니다.” -엔에스포커스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>