페이팔·이베이 및 15개 은행 공격 대상 삼은 제우스 봇넷 서버 제거

[보안뉴스 김정완] 글로벌 보안기업 트렌드마이크로는 미국, 남미, 유럽의 15개 은행 고객뿐 아니라 페이팔(PayPal)과 이베이(eBay)를 포함한 여러 온라인 결제 업체들을 공격 대상을 삼은 제우스 봇넷 명령 및 제어(C&C) 서버를 도메인 등록 업체인 CDMON과 협력을 통해 제거했다고 5일 밝혔다.

트렌드마이크로의 보고서에 따르면, “공격 대상이 되었던 은행들 간에 일관성이 없고 감염된 컴퓨터의 위치를 감안해 볼 때 봇마스터는 기본 구성은 그대로 두고 자신이 속한 지리적 영역에 트로이 목마를 퍼뜨린다는 것을 알 수 있었다”고 언급했다.

또한 이 보고서는 “제우스는 봇넷을 구축해 사람들의 PC에서 중요한 개인 금융 정보를 훔치는데 사용되는 크라임웨어 도구 키트”라며 “현재 여러 가지 ‘제우스 봇넷’이 활동하고 있으며 그들을 만들어 낸 봇마스터에게 활동을 보고하고 있다”고 밝히고 있다.

500대 이상의 제우스 C&C 서버를 모니터링하는 제우스 트래커(Zeus Tracker)에 따르면, 러시아에는 44대, 미국에는 35대, 루마니아에는 29대 그리고 우크라이나에는 28대의 제우스 C&C 서버가 운영되고 있다. 또한 제우스가 과거의 경쟁자인 스파이아이(SpyEye)와 통합된 것으로 보이긴 하지만 사람들은 여전히 독립 실행형 제우스 멀웨어 도구키트를 사용하고 있다.

이번에 트렌드마이크로가 제거한 봇넷은 아메리카 지역에서 만들어진 것으로 C&C 서버로 들어오는 요청들 중 95% 이상이 남미, 특히 멕시코에서 이루어지고 있다는 것을 파악했다. 따라서 봇은 라틴 아메리카에서 만들어졌거나 스페인어로 제작되어 멕시코와 칠레의 은행을 공격 대상으로 삼았다는 것. 이는 은행들이 아직도 고객 금융 계정 보호를 위해 단일 요소의 인증 방식을 사용하기 때문인 것으로 트렌드마이크로는 추정했다.

트렌드마이크로는 이번에 봇넷을 제거하기에 앞서서 3주간의 데이터를 수집·분석했다. 봇 마스터가 제우스를 통한 공격을 위해 사이트를 등록할 때 이용했던 도메인업체 CDMON과 협업을 통해 트렌드마이크로가 실제 C&C 서버처럼 가장할 수 있도록 CDMON은 서버의 본래 주소를 트렌드마이크로 주소로 바꾸어 봇 클라이언트는 사이버범죄자 대신 트렌드마이크로와 통신하게 됐다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>