[보안뉴스 주소형] “은행 봇넷이 작년보다 더 강력해진 모습으로 돌아왔다.” 델 시큐어윅스(Dell SecureWorks)사가 RSA 2015에서 밝힌 말이다. 지난해 보안업계를 떠들썩하게 했던 게임오버 제우스(Gameover Zeus)와 샤일록(Shylock)을 제거했음에도 불구하고 오히려 은행 봇넷의 활동이 더욱 활발히 진화했다는 내용이다.

델 시큐어윅스(Dell SecureWorks)사가 지난해 초부터 올해 초까지 일 년간 은행 봇넷의 움직을 조사한 결과, 제우스 및 샤일록과 유사한 형태의 은행 봇넷이 늘어났다. 발견된 봇넷의 수도 전년 동기대비 증가한 것으로 집계됐다. 특히 보이지 않는 네트워크인 토르(Tor)와 I2P(Invisible Internet Project)를 기반으로 움직이고 있다고 팔라브 콴드할(Pallav Khandhar) 수석 연구원이 설명했다.

지난해 은행 트로이 목마는 1,400여개의 금융기관을 공격했다. 그에 대한 피해자의 90%가 미국 기관이었고, 나머지는 영국, 스페인, 호주, 독일, 이탈리아 및 아시아까지도 퍼지고 있다.

그런데 게임오버 봇넷이 사라지면서 적어도 3개의 새로운 봇넷을 만들어낸 것으로 알려졌다. “게임오버 봇넷이 제거되면서 복수의 일환으로 새로운 형태의 봇넷을 만들어냈다. 그들은 제우스나 다른 봇넷들보다 더 진화된 형태다”라고 콴드할 연구원이 말했다. 새로운 봇넷의 가장 큰 특징은 가상의 웹과 다이내믹 웹(dynamic web)을 사용하여 봇넷을 통제하는 것이라고 그는 덧붙였다.

악성 은행 트로이목마인 다이어(Dyre)의 진화 버전은 다이레자(Dyreza)와 다이젭(Dyzap)이다. 이들은 인터넷에서 데이터를 안전하게 전송하기 위한 인터넷 통신 규약 프로토콜인 SSL에서 암호화된 모든 통신의 흐름을 원격 조정할 수 있다.

“해당 멀웨어도 가상의 웹과 다이내믹 웹에서 조절이 가능하다. 특히 다이어의 경우 지난 6월에 세상에 알려진 이후부터 현존하는 가장 위험한 뱅킹 트로이목마로 불리고 있다”라고 콴드할 연구원은 말했다.

게임오버 제우스가 만들어낸 봇넷 가운데 ‘Bugat v5’도 이목을 끌고 있다. 시큐어웍스에 따르면 해당 트로이 목마는 2010년에 최초로 발견되어 지난해까지 괄목할만한 성장을 했다. 이는 인터넷 상에서 개인과 개인이 직접 연결되어 파일을 공유하는 피어투피어(peer-to-peer) 시스템에서 공개 키(public key) 암호방식과 대칭 키(symmetric key) 암호방식을 모두 사용하여 감염된 시스템과 연결된다고 한다.

콸드할 연구원은 “애초에 은행 봇넷들은 고객과 기업들로부터 금융 정보를 탈취하기 위한 목적으로 만들어졌지만 더 다양하게 악용되어 가는 추세다”라고 말했다.

시큐어웍스 연구원들이 최근 일 년간 은행 봇넷의 움직임을 지켜본 결과, 은행 봇넷이 활용된 웹사이트가 기업 급여 지불 총액 관련 사이트, 금융서비스 사이트, 직원 이메일서비스 포털 사이트, 데이팅 사이트, 소셜네트워킹 사이트 등으로 파악됐기 때문이다.

마지막으로 콴드할 연구원은 이러한 공격들을 과소평가해서는 안 된다고 당부했다. 해커들은 이를 바탕으로 사용자들의 신원정보와 로그인 계정을 탈취하여 직원 사이트와 구직 포털에 로그인하여 기밀정보를 얼마든지 빼낼 수 있다고 설명했다.   

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>