올해 초, 1년 전에 자취를 감췄던 제로액세스 귀환
[보안뉴스 주소형] 나쁜 소식이다. 제로액세스(ZeroAccess) 혹은 사이어펫(Sirefet)이라고 불리는 봇넷이 부활한 것이다. 불행 중 다행인 건 아직은 전성기 때만큼의 규모는 아니라는 것.
델 시큐어웍스(Dell SecureWorks)의 위협대응팀(Counter Threat Unit)은 이제 멀웨어의 인명부 사전에서나 있을 법한 봇넷인 제로액세스가 최근 다시 살아서 활동하고 있는 걸 발견했다. 너무 오래 돼서 제로액세스에 대한 기억이 흐릿하다면, 제로액세스는 두 개의 P2P 봇넷으로 하나는 32비트 윈도우, 또 다른 하나는 64비트 윈도우용이며 이 둘은 똑같이 주요 검색 엔진과 웹 브라우저를 장악하고 마음대로 조정한다. 검색 결과를 중간에 가로채 사용자들이 악성 사이트로 유입시키거나 광고 클릭 수를 높이는 사기를 써서 높은 비용을 요구하는 수법에 주로 활용되었다.
이를 잡아내기 위해 2013년 12월 MS와 유럽경찰, FBI는 손을 잡았다. 제로액세스에 감염된 컴퓨터가 전 세계적으로 2백만 대 가량이나 되던 때였고 온라인 광고 산업은 이로 인해 매달 2백7십만 달러라는 어마어마한 손해를 보고 있던 실정이었다. 연합 세력 앞에 제로엑세스는 일망타진됐다.
그러나 몇 달이 지나지 않아 제로액세스는 또 다시 모습을 드러냈다. 3월 21일부터 7월 2일까지 활발한 활동을 벌였다. 그러다가 자취를 감췄다. 하지만 1월 15일, 제로액세스가 기억에서 사라져 갈 때쯤 또 다시 조용히 활동하고 있는 걸 시큐어웍스가 발견한 것이다. 감염된 봇들이 클릭 사기를 위한 템플릿 서버의 URL을 수신하는 모습이 포착되면서였다.
그러나 예전의 위용은 온데간데 없었다. 2013년 12월의 대대적인 소탕 작전이 후유증을 남겼는지 지금의 규모로 충분히 만족하는 모습이었다. 제로액세스의 관리자들에게서는 확장의 의지를 찾을 수가 없었다. 그저 그때의 공격에서도 살아남은 호스트들을 그냥 그대로 쓰고 있을 뿐이었다.
그 결과 2백만 개에 달했던 노드가 지금은 5만 5천 개에 불과하다. 대부분은 일본, 인도, 러시아에 있고 미국에는 2540개가 남아있다. “그때나 지금이나 관리자 혹은 운영자는 같습니다.” 델 시큐어웍스의 연구원인 케이스 자비스(Keith Jarvis)의 설명이다. “봇을 조정하거나 확장시킨 움직임은 없고, 다만 아직까지 감염된 채 방치되어 있는 시스템들이 발견된 것이라고 봐도 됩니다. 저희가 발견한 건 그런 봇들의 지리적 분포도라고 할 수 있습니다.”
케이스는 블로그에 다음과 같은 글을 남겼다. “제로액세스의 관리자 혹은 운영자가 1년이 넘도록 봇넷을 확장시키려는 뚜렷한 움직임을 보인 적이 없긴 하지만, 애초에 그 규모가 크다는 사실에는 변함이 없습니다. 또한 자꾸만 이렇게 살아난다는 건 제로액세스의 운영자들이 어지간해서는 그만두지 않을 거라는 의지를 나타내며 P2P 네트워크를 사용한 멀웨어의 확장이 얼마나 무서운지를 보여줍니다. 제로액세스는 다른 봇넷처럼 금융사기나 로그인 정보 등의 민감한 정보를 훔치는 데, 혹은 랜섬웨어처럼 파일을 납치해서 사용자에게 돈을 요구하는 행위에 사용되지는 않습니다만 온라인 광고 시장에 심각한 피해를 끼치고 있으며, 호스트가 여기에 감염된 경우 대량의 리소스를 낭비시킵니다.”
@DARKReading
[국제부 주소형 기자(sochu@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
