[보안뉴스 호애진] 10대 봇넷 중 하나인 웨일덱(Waledac) 봇넷이 활동을 다시 재개하면서 이메일 계정 비밀번호 약 50만개와 FTP 계정 신상정보 12만 5,000 세트를 수집한 것으로 나타나 충격을 주고 있다.

지난해 이 봇넷을 무력화시키기 위해서 미국이 앞장서 C&C 서버에 대한 수백개의 도메인을 차단시켰지만 이를 조롱하듯 웨일덱은 되살아 났다.

당시 마이크로소프트(MS)는 핫메일과 기타 서비스의 메일 서버에 홍수처럼 밀려드는 스팸을 저지하기 위해 웨일덱 봇넷에 대한 강력한 대응 조치를 주장했고 미국 버지니아주 알렉산드리아 연방법원은 2010년 2월 해당 악성코드에 감염된 컴퓨터를 원격 조종하는데 이용되는 277개 인터넷 도메인에 대해 패쇄 명령을 내렸다.

실제로 지난해 이러한 조치를 취한 직후 세계 전역으로 대규모 스팸 공격을 발생시켰던, 웨일덱에 감염된 컴퓨터가 크게 줄었다는 조사 결과가 나온바 있다.

그러나 최근 전 세계 대학의 교수와 대학원생들로 이뤄진 보안 기업 The Last Line of Defense(TLLOD) 소속 연구원들은 웨일덱의 데이터를 분석한 결과 이들의 이메일 신상정보가 실시간으로 블랙리스트와 기타 필터에 걸리지 않도록 작성돼 스팸 활동에 쓰이고 있다는 사실을 밝혀냈다.

분석 보고서에 따르면 이들은 POP3 메일 계정 48만 9,528개의 신상정보도 찾아냈다. 이 신상정보는 고도의 스팸 활동에 쓰이는 것으로 알려져 있다. 이 기법은 SMTP-AUTH 프로토콜을 통해 피해자로 인증을 받아 스팸 메시지를 보내는 방식으로 적법한 메일 서버를 악용한다. 이 방법을 쓰면 IP 기반 블랙리스트 필터링이 상당히 어려워진다.

TLLOD 연구원들은 이 봇넷 작성자가 C&C 서버를 확보해 가동시킬 수 있는 새로운 서비스를 제공하면서부터 웨일덱의 새로운 스팸 활동이 더욱 좋은 성과를 보였다고 밝혔다.

이와 같이 웨일덱은 그 방법이나 공격 대상이 아니라 그 복원 능력 때문에 최근 들어 더 호기심을 자아내는 봇넷에 속한다.

지난 해 말 웨일덱은 다시 소생해 12월 말 경 다량의 스팸 활동을 개시해 올해 1월부터 사람들에게 인기가 높은 이메일 신년카드 발송에 나섰다. 그리고 스팸 수준은 1월 하순에 불이 붙기 시작했다.

연구원인 브렛 스톤그로스(Brett Stone-Gross)는 분석 보고서에서 “훼손된 신상정보 외에도 새로 감염돼 부트스트랩 C&C 서버에 접속하는 노드들도 눈에 띄었다”며 “부트스트랩 서버는 ANMP로 알려진 독점 프로토콜로 통신을 하며 감염된 머신에 라우터 노드 목록(훼손된 다른 호스트들)을 전파한다”고 밝혔다.

노드마다 무작위로 16바이트 ID를 생성해 웨일덱의 C&C로 보고한다는 것이다. 그는 이어 “분석 결과 부트스트랩 서비스는 이메일 신년카드 스팸 활동이 시작되기 꽤 전인 2010년 12월 3일 온라인에 처음 모습을 드러냈다”며 “총 1만 2,249개의 고유 노트 ID가 부트스트랩 C&C에 접속했고 라우터 ID는 1만 3,070개였다”고 덧붙였다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>