두 배 빠른 패스트 플럭스 기술로 봇넷들에게 안전한 공격 루트 제공
2012년부터 추적 시작... 총 130TB 데이터 확보 및 분석

[보안뉴스 문가용 기자] 각종 랜섬웨어, 원격 접근 툴(RAT), 은행 트로이목마 등을 부리는 세계 최대의 봇넷 중 하나인 아발란시(Avalanche)가 크게 한 방 먹었다. 이번에도 유로폴이다. 아발란시 봇넷과 관련이 있는 일당 중 다섯 명이 검거됐고, 80만 개의 도메인을 확보했다고 유로폴은 발표했다.


아발란시 봇넷은 2009년부터 활동을 시작한 것으로 자금 운반 및 세탁, 다양한 멀웨어 배포하는 데에 활용되고, 다른 봇넷의 패스트 플럭스(fast-flux) 통신망 역할을 하기도 했다. 현재까지 약 50만 개의 기기들을 매일처럼 부리는 것으로 알려져 있다. 패스트 플럭스란 봇넷들이 피싱 공격이 이뤄지거나 멀웨어가 배포되는 사이트들을 숨기기 위해 활용되는 DNS 기술 중 하나다. 유로폴의 공식 발표를 일부 발췌한다.

“아발란시라는 봇넷이 특별했던 이유는, 소위 말하는 ‘더블 패스트 플럭스(double fast flux)’ 기술을 활용했기 때문입니다. 이 기술이 있어서 다른 봇넷 사용자들이 아발란시를 통신망으로서 적극 활용했습니다. 더블 패스트 플럭스는 추적과 수사를 매우 어렵게 만들고, 그래서 국제 경찰 조직들의 공조로 뒤가 잡히거나 폐쇄되는 일을 방지할 수 있었거든요.”

아발란시를 통신망으로서 활용했던 유명 봇넷들은 테슬라크립트(TeslaCrypt), 나이마임(Nymaim), 로브닉스(Rovnix), 큐봇(Qbot), 맷츠누(Matsnu), URL존(URLZone) 등이 있다. 이러한 봇넷 운영자들에게 아발란시는 빠르고 안전한 서비스를 제공했다.

유로폴에 의하면 아발란시는 독일의 금융 산업에 약 6백만 유로의 손실을 입혔다고 한다. 이는 약 75억 원에 해당하는 금액으로, 온라인 범죄로 인한 액수만 계산한 것이다. 또한 유로폴은 아발란시가 전 세계적으로 수천만~수억 달러의 손실을 입혔을 것이라고 추정하고 있지만, 너무 많은 멀웨어 및 공격 기법에 연루되어 있어 정확한 계산이 힘들다고도 설명했다.

아발란시는 세계에서 가장 극악한 멀웨어 중 17개를 호스팅하고 있다고 미국의 사법부와 FBI는 공식적으로 발표했다. “시타델(Citadel), 드리덱스(Dridex), 보트랙(Vawtrak), 테슬라크립트(TeslaCrypt), 팬더뱅커(Pandabanker), 고제우스(GOZeus), VM-제우스(VM-ZeuS), 랜섬락(Ransomlock), 베블로(Bebloh), 나이마임(Nymaim) 등이 여기에 포함됩니다.” 상세 목록은 여기를 클릭.

아발란시에 대한 수사가 시작된 건 2012년부터다. 시만텍은 랜섬락이라는 랜섬웨어를 추적하고 있었고, 독일의 한 수사기관은 베블로라는 은행 트로이목마를 쫓고 있었는데, 두 멀웨어가 독일 언어권 사용자들을 노리고 있었고 C&C 인프라가 같다는 점이 발견됐다. 시만텍과 해당 수사기관이 힘을 합치기로 했다. 그러면서 수사가 확대되어 비슷한 특성을 가진 다른 멀웨어들도 수사권 안에 포함되기 시작했다.

시만텍과 독일 수사기관이 독자적으로 시작했던 일이, 40개국의 수사기관들과 유로폴, 유로저스트, FBI, 미국 사법부까지도 참여하는 일이 됐다. 유로폴은 이 공조 수사 기간 동안 총 130TB의 데이터가 확보되고 분석됐다고 밝혔다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>