지난 해 11월 경 급격히 감소했던 스팸이 다시금 증가하기 시작함에 따라 봇넷이 기존의 전략을 바꾼 것이 아니냐는 관측이 나오고 있다.

지난해 맥콜로(McColo)사의 폐업으로 잠시 주춤했던 스팸과 봇넷 운영자들의 다시 움직이고 있으며 상당량의 스팸이 기업 네트워크에서 포착되고 있는 가운데, 봇넷의 경향이 크게 달라지고 있다는 주장이 제기됐다. 외신 보도에 따르면 Srizbi와 같은 기존의 대표적인 봇넷이 맥콜로(McColo)의 폐업으로 크게 타격을 입고 물러났다. 대신 컷웨일(Cutwail)과 같은 스팸이 그 자리를 꿰찼다는 것이다.

미(美) SaaS 업체 시큐어웍스(SecureWorks)는 컷웨일이 현재 17만 5천개의 컴퓨터를 손상시켰다며 2009년 최악의 봇넷이 될 것으로 전망했다. 또한 러스톡(Rustock)과 돈봇(Donbot)이 각각 13만개와 12만 개의 컴퓨터 손상으로 컷웨일의 뒤를 잇고 있으며, 그 외에도 Ozdok, Xarvester, Grum, Gheg, Cimbot, Waledac 등의 봇이 있다고 시큐어웍스는 덧붙였다.

문제는 이러한 봇넷이 스팸의 최소 90%를 차지하고 있다는 것. 일부 보안 연구자들은 봇넷 운영자들이 전략을 바꾼 것으로 보고 있다고 외신이 보도했다. 봇넷 운영자들이 앞으로는 맥콜로의 폐업으로 입었던 타격과 같은 영향 받지 않기 위해 다수의 컨트롤 서버를 확보할 것이라고 보안 연구자들은 예측하고 있다는 것이다.

지난 11월의 맥콜로 폐업 이후 스팸은 50~70% 정도 감소했다. 두 달여가 지난 지금도 스팸 수준이 완전히 회복되지는 않은 것으로 알려졌다. 그러나 시만텍의 연구자들은 스팸량이 맥콜로 폐업 이전의 80% 정도 수준으로 돌아갔다고 밝혔으며, 맥아피의 연구자들 역시 60% 정도 원상 복귀되고 있다고 밝혔다.

맥아피의 리서치 커뮤니케이션 책임자 데이브 마커스(Dave Marcus)는 “스패머들이 그들의 서버를 다른 스팸 친화적인 ISP로 옮길 수 없었기 때문에 스팸 수준이 (아직) 완전히 원상 복귀되지는 않았다”며 “그들은 지금 원상 복귀를 위해 고심하고 있다. 우리는 스패머들이 쉽게 다른 ISP를 찾을 수 없기를 기대할 수 있을 뿐”이라고 말했다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>