트렌드마이크로는 최근 발표한 보안 리포트를 통해 최근 6개월간 약 9백만개의 제우스봇에 의한 공격을 차단했다고 밝히며, 하루 평균 300개 이상의 제우스 샘플이 발견되고 있는데, 특히 지난 1월 한달 동안만도 13,000개 이상의 제우스 샘플이 수집됐고, 최근 들어 곳곳에서 제우스봇에 의한 공격이 빈번하게 일어나고 있다고 경고했다.

제우스봇은 인터넷 사용자에게 가장 악명 높은 보안 위협 중 하나로써 금전과 금융사기를 목적으로 한 제우스봇을 개발하는 범죄조직이 동유럽에 분포하고 있다.

제우스봇의 최근 버전 및 기능

제우스봇은 2005년 처음 발견된 이후 지속적인 변화와 개선을 통해 효과적이고 효율적인 범죄 툴로 재구성되고 있다. 제우스 변종들은 ‘Avalanch 봇넷’을 통해 빠른 속도로 전파되며 다량의 스팸 메시지를 발송하는 것으로 알려졌다.

이 스팸 메일은 인기 있는 가짜 소셜 네트워킹 사이트를 통해 배포됐으며, 심지어 범죄조직은 미국예금보험공사, 미 국세청 미국질병관리 및 예방센터 등과 같은 미국 정부 기관의 가짜 웹사이트를 만들어놓고 이들 기관 명의의 이메일을 사칭해 스팸 메일을 발송하기까지 했다.

최근 들어서는 오픈 소스 인스턴트 메시징 프로토콜인 ‘재버(Jabber)’ 가 제우스 버전에 추가됐다. 재버 제우스는 개인사용자가 인터넷 뱅킹을 하는 동안 금융정보를 실시간으로 인스턴트 메시지를 통해 봇 마스터에게 전달하는 제우스 변종이다. 범죄조직은 이 기능을 통해 개인사용자 계정으로 피해자의 금융사이트에 로그인할 수 있다.

제우스-BredoLab 커넥션

‘브레도랩(BredoLab)’과 제우스는 범죄조직 사이에서 자유롭게 사용되는 각각의 개별 툴이지만 상호 보완적으로 활동하기 때문에 그 둘이 종종 함께 보여지기도 한다.

제우스가 감염된 시스템으로부터 정보를 훔치는데 특화된 봇넷 이라면, 브레도랩은 감염된 PC에 어떤 소프트웨어라도 범죄조직에서 제공하는 프로그램을 보내는 기능을 가지고 있다. 사용자 PC가 브레도랩에 감염되면, 정기적으로 사용자가 보안업체로부터 소프트웨어 업데이트를 받는 동일한 방식으로 악성코드가 사용자 PC에 업데이트 된다.

경기악화가 제우스봇 전파 일조

제우스의 성공은 수백만 명의 실업자들이 현존하는 요즘 미국 경제상황이 사이버범죄자들이 훔친 돈을 전달하기 위한 금전 운반책을 고용할 수 있는 기회를 일부 제공했다고 볼 수 있다. 이러한 기회가 사이버범죄자들에게 공범자를 더욱 쉽게 찾을 수 있도록 해주고 사이버범죄 조직은 모집한 개인 공범자들을 통해 은행 계좌 정보 제공 받고 은행계좌 정보에 접근해 은행 계좌 한도 초과가 되지 않는 범위 내 인출한 뒤 동유럽으로 송금되도록 하는 방식을 사용한다.

제우스봇으로부터의 방어

제우스봇과 같은 악성코드 봇과 봇의 집합체인 봇넷은 기존 바이러스백신에서는 잘 탐지되지 않으며, 탐지가 되더라도 치료가 어려웠다. 현재 제우스봇에 감염된 컴퓨터는 1억대 이상이며, 이러한 악성 봇넷에 감염된 좀비PC는 더욱 늘어날 전망이다.

한편 이와 관련 트렌드마이크로에서는 이러한 악성코드에 감염된 좀PC를 탐지하고, 자동 치료하는 모듈 기능을 가진 ‘좀비PC 탐지 및 치료 솔루션’을 제공하고 있다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>