• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2달 전 갔던 고제우스, 죽지도 않고 또 오나 2014.07.15

이전보다 위협성은 현저히 낮지만 알고리즘 등 유사점 많아

사이버 범죄 뿌리 뽑으려면 기술력과 물리력이 조화를 이뤄야


[보안뉴스 문가용] 고제우스의 새로운 변종이 발견되었다. 다행히도 이전 고제우스가 가지고 있던 최첨단 요소들은 갖추지 못한 버전이다. 예전 고제우스를 유포했던 공격자들과 같은 세력이 배후에 있는지의 여부 또한 추정이 가능하지만 아직 확실히 밝혀지지 않은 상태다.


원래 고제우스 봇넷은 P2P C&C 인프라 때문에 강력했던 것인데 지난 주 목요일 보안 업체인 말커버리(Malcovery)가 발견한 이 변종에는 그런 인프라가 발견되지 않았다. P2P는 패스트 플럭스(fast-flux) 호스팅으로 대체되어 있었으며 이전 고제우스가 P2P 미작동시 사용했던 부차적인 매커니즘과 닮은 도메인 생성 알고리즘을 활용하고 있었다.


또 다른 보안전문업체인 소포스(Sophos)는 이 변종 멀웨어에 네커스 루트킷(Necurs Rootkit)의 사용 흔적은 없었다고 발표했다. “이상한 점이죠. 예전엔 이 루트킷이란 것의 존재 때문에 고제우스를 삭제하는 게 참 힘들었거든요. 루트킷이 없는 고제우스는 멀웨어를 포함하고 있는 EXE 파일만 지우고 컴퓨터를 다시 시작하면 깨끗하게 지워집니다.”


그렇다면 이 멀웨어가 정말 고제우스의 변종이긴 한 것일까? 말커버리에 따르면 이번 멀웨어는 고제우스의 코드와 90% 일치한다고 한다. 소포스는 “고제우스는 텍스트 메시지의 대부분을 2011년 유출된 오리지널 제우스의 소스코드와 똑같은 커스텀 알고리즘을 사용해서 만듭니다. 이번에 발견된 변종에서도 같은 알고리즘과 스트링 테이블을 발견할 수 있었습니다. 또한 해독한 스트링들이 초기 고제우스 변종의 그것과 같았습니다”라고 풀어서 설명을 해줬다.


이 멀웨어는 “계정정보를 포함하고 있다”는 식의 문구를 포함한 스팸 메일 및 메시지를 통해 퍼지고 있다. 이 스팸에는 악성 PDF 파일이 첨부되어 있다. 공격에 당한 시스템 대부분은 미국, 인도, 싱가포르에 위치한 것으로 밝혀졌다.


이 멀웨어는 침입에 성공하면 C&C 서버와의 접속을 시도한다. 여기서 C&C 서버란 패스트 플럭스 서버나 도메인 생성 알고리즘으로 만들어진 도메인들 중 활성화된 도메인을 뜻한다. 델 시큐어웍스(Dell SecureWorks)는 보고서를 통해 “그런 식으로 C&C 서버와의 통신에 성공하고 나서는 TCP 포트 80의 HTTP POST 요청을 활용해 RSA 암호화 정보를 전송합니다”라고 기술 부분을 설명했다. “RSA를 사용함으로써 공격자만이 조정할 수 있게 됩니다.”


말커버리 측은 “FBI 및 델 시큐어웍스와 공조하여 확인해본 결과 오리지널 고제우스는 아직도 ‘잡혀있는’ 상태였습니다(약 5주 전인 6월초 미국은 전 세계 보안 관련 기구 및 업체들과 협조하여 고제우스 멀웨어 소탕작전을 펼친 바 있다). 이번에 새로 발견된 멀웨어의 도메인 생성 알고리즘 목록은 원래의 고제우스와는 전혀 연관성이 없었습니다. 다만 그 알고리즘 자체가 놀랄 정도로 똑같았습니다. 또한 이 호스트들과 일단 접속에 성공하고 난 후 멀웨어가 수행하는 기능이 고제우스와 굉장히 유사하기도 했고요”라고 이 멀웨어가 고제우스의 변종임을 강조했다.


이 변종의 출현으로 고제우스를 활용해 사이버범죄를 저지르던 세력이 여전히 범죄행위를 시도하고 있다는 의심이 증폭되고 있다. 범죄자가 재범하는 거야 흔히 있는 일이지만, 고제우스는 역사에 남을 만한 대규모 소탕작전의 대상이었던 멀웨어이며, 그것도 불과 두 달여 전의 일일 뿐이다. 게다가 그 작전의 성공 여부에 대해서는 여전히 논란이 많은 상태고 말이다. 이에 대해 네트워크 솔루션 전문업체인 클라우드마크(Cloudmark)의 연구분석가인 앤드류 콘웨이(Andrew Conway) 씨는 그리 좋은 평을 주지 못하고 있다.


“봇넷 소탕작전이라 하면 그 봇넷의 배후에 있는 인물을 잡아서 감옥에 넣기 전까지는 성공했다고 볼 수 없습니다. 그런 대대적인 공격이 감행된 후 2주 동안 실제로 스팸 메일이 줄어들긴 했습니다. 점점 높아지고 있던 해킹 방법의 교묘함이나 위험 수위가 줄어드는 것도 목격했고요. 그런데 그것도 정말 딱 2주 동안 만이었습니다. 다시 올라가기 시작하더라고요. 6월말 즈음엔 멀웨어 소탕작전 이전 수준으로 다시 복구되었습니다.”


사이버 범죄는 사이버 세상에서만 일어날지 몰라도 그 범죄의 뿌리를 뽑는 데에는 사이버 보안뿐 아니라 경찰이나 국가기관의 물리력이 손을 잡아야 한다. 6월초에 있었던 승전보에 모든 보안인들이 쾌재를 불렀을 때 누군가는 뒤에서 비웃음을 흘리고 있지 않았을지 소름이 끼친다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>