네커스, 지속적인 스팸보다 속도 늘린 스팸이란 개념으로 공격
스팸 지속성 줄일 수 있었던 건 랜섬웨어와 트로이목마 활용 덕

[보안뉴스 문가용] 스팸의 양이 2010년 중반부터 현재까지 시기 중 가장 높은 수치를 기록했다. 그 이유는? 스팸봇 기술이 발전해서라거나 새로운 스팸 실력자의 등장이 아니다. 오로지 범죄자들의 사업전략의 변화 때문이라고 시스코 탈로스 랩(Cisco Talos Labs)이 발표했다.


2016년 이전, 스팸캅 블록 리스트(SpamCop Block List)의 크기는 2십만 개의 IP 주소 정도에 그쳤다는 시스코 탈로스의 연구원들은 “최근 들어 평균 4십만 개로 늘어났으며 8월에는 심지어 45만여 개를 넘기기도 했다”고 설명했다.

이런 현상에 대한 가장 큰 이유는 네커스(Necurs)라는 봇넷의 출현이다. 네커스는 2016년 처음 등장한 것 치고는 매우 ‘올드’한 스팸 전략을 펼쳤는데, 바로 짧은 시간 안에 어마어마한 양의 스팸을 처리하는 것이다. 이는 너무나 흔한 스팸 기법이라 보통의 스팸 필터 솔루션들로도 충분히 대처가 가능하다. 그래서 네커스 처음 등장 당시에는 커다란 호응을 얻지 못했다.

그러자 네커스 운영자들은 ‘속도’에 초점을 맞추기 시작했다. 꾸준한 디도스 공격은 여러 탐지 기법에 막혀 불가능하다고 해도, 공격이 시작되기 나서 탐지 툴들이 발동되기 전의 그 수초 혹은 수분 안에 최대한 많은 이메일을 발송할 수는 있다는 것에 주목한 것이다. 그 짧은 시간 안에 멀웨어를 심을 수도 있었다.

올해 초 스팸의 양이 갑자기 증가한 기간이 있었다. 네커스가 활동한 기간이었다. 네커스는 대부분 러시아의 데이트 관련 이메일을 보냈다. 이때까지만 해도 네커스는 초기 단계, 즉 양에 치중한 단순 공격을 할 때였다.

그러다가 6월, 봇넷은 악성 첨부파일을 포함한 스팸 공격을 하는 것으로 전략을 바꾸었다. 대부분 드리덱스(Dridex)라는 은행권 트로이목마와 록키(Locky)라는 랜섬웨어였다. 이 때 네커스는 순간순간 엄청난 양의 스팸을 쏟아 붓고는 빠지는 기법을 활용하고 있었다.

시스코 탈로스의 기술 전문가인 크레이그 윌리엄즈(Craig Williams)는 “그런 악성 첨부파일을 통해 추가적인 수익을 만들 수 있다는 걸 깨우쳤기 때문에 스팸 공격의 지속성을 희생시키고 속도에 집중할 수 있었던 것 같다”고 분석한다.

또, 앵글러 익스플로잇 킷(Angler Exploit Kit)을 통해 퍼지던 러크(Lurk)라는 멀웨어의 범죄조직이 검거되면서 중간에 피해자들과 고객들이 붕 뜬 타이밍에 네커스가 잘 치고 들어왔다는 분석도 있다. 시장 진입 타이밍 운이 좋았다는 것.

윌리엄즈는 “스팸과 다른 공격을 섞어서 ‘지속’싸움을 ‘속도’싸움으로 만들어버린 게 효과가 좋다고 알려지면, 앞으로 이런 공격이 더 많이 일어날 것”이라고 경고한다. 쉽게 느껴지는 스팸 메일 공격이 보다 위협적으로 변모하는 중에 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>