전 세계 320만개의 컴퓨터에 퍼져 있는 은행 기밀문서 탈취용 봇넷

[보안뉴스 주소형] 유러폴의 사이버범죄 수사대(EC3)가 시만텍(Symantec), 마이크로소프트(Microsoft), 아누비스 네트웍스(Anubis Networks)의 공조로 은행 기밀문서 탈취용 바이러스와 연결된 300여개의 도메인을 없애고 해당 서버들을 중단 명령했다. EC3은 영국, 독일, 이탈리아, 네덜란드의 각국 대표들이 참석한 자리에서 이를 공표했다.

악성코드 중에 하나인 ‘램닛(Ramnit)’은 지난 2010년 11월에 발견됐다. 조사관들은 약 35만개의 윈도우 버전 컴퓨터(클라이언트+서버)가 램닛에 감염됐고, 결국 320만개의 컴퓨터로 퍼져나간 것으로 예상했다. 램닛이 가장 집중된 곳은 인도였으며, 감염된 컴퓨터의 27%는 인도네시아, 베트남, 방글라데시, 미국 등에 분포되어 있는 것으로 파악됐다.

이렇게 국제 민관 합동 수사를 벌이는 추세는 지난해 6월부터 시작됐는데, 당시 게임오버 제우스(Gameover ZeuS)의 봇넷을 박멸하는 과정에서 나온 것이다. 당시에는 이를 토바작전(Operation Tovar)이라고 불렀다.

램닛는 고제우스(GOZeuS)에서 진화된 바이러스로 볼 수도 있다. 글로벌 보안기업인 시만텍사의 블로그 내용에 따르면 초반의 램닛은 웜의 형태로 출발했다. 당시 램닛은 드라이브를 삭제하거나, exe·dll·html 등의 파일을 감염시키거나, 백도어(backdoor)를 여는 등의 수준의 공격을 하는 것이 전부였다. 하지만 램닛이 익스플로잇 킷(exploit kits)을 사용하여 번식되고 고제우스 멀웨어의 모듈을 차용하면서 업그레이드 됐다.

램닛에는 6개의 주요 모듈이 있다. 해당 모듈은 1)은행 정보 및 기밀 파일을 찾는 드라이브스캐너 2)감염된 컴퓨터와 데이터에 원격 출입이 가능한 비밀의 FTP 서버 3)가상의 네트워크 모듈, 출입도 가능 4)많은 양의 FTP 서버를 위해 로그인 기록을 수집한 FTP 그래버 5)피해자로 가장하거나 웹 세션을 납치하는 형태로 공격하는 쿠키 그래버 6)이용자들을 감시하는 것은 물론 은행사이트를 조작하여 사용자들의 신용카드번호까지도 빼내는 스파이 모듈로 구성되어 있다.

램닛이 재생되는 경우도 있다. 바로 램닛이 메모리와 하드디스크를 복사하여 해당 컴퓨터와 융화됐을 때다. 만약 하드디스크에 멀웨어가 침투했거나 메모리 중에 한 개가 감염됐다면 멀웨어는 하드디스크에서 계속 재생될 것이다.

“이번 작전은 각국이 힘을 합쳐 세계를 위협하는 사이버범죄를 성공적으로 해결했다는 데서 의미하는 바가 크다”고 윌 젤메트(Wil van Germert) 유러폴 부회장이 말했다. 이어서 그는 “우리는 앞으로도 함께 더 많은 봇넷들을 박멸하고 각종 사이버범죄의 근원을 찾아 소탕할 계획이다. 유럽연합과 미국은 물론 전 세계의 목표는 사이버 범죄 위협으로부터 사람을 안전하게 지키는 것을 공통된 목표로 두고 있다”고 밝혔다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>