• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

아발란시와 샤문이 일으킨 대규모 사건, 그 이후 2016.12.06

아발란시 봇넷 부활 막기 위해서 멀웨어 삭제 툴 실행
샤문 공격 받은 사우디, 침묵 속 “우린 끄떡없다”는 메시지만 전달

[보안뉴스 문가용 기자] 11월의 마지막, 역사상 가장 큰 규모의 범죄 플랫폼 중 하나가 종식됐다. 바로 아발란시 봇넷이다. 5년 간 국제적인 수사기관들과 보안 전문업체들이 공조하여 추적한 끝에 이룬 성과다. 유로폴이 이끈 이번 ‘아발란시 작전’으로 고즈님(Goznym), 마처(Marcher), 드리덱스(Dridex), 마츠누(Matsnu), URL존(URLZone), XSWKit, 팬더뱅커(Pandabanker), 케르베르(Cerber), 테슬라크립트(Teslacrypt) 등 20개의 대형 봇넷들이 폐쇄되었다.


아발란시는 그 자체로도 매일 약 50만 대의 컴퓨터를 동원한 대형 봇넷이면서 다른 봇넷들의 통신망 역할까지 했으며, 수천억 대의 손실을 전 세계적으로 입힌 것으로 추정된다. 유로폴은 이번 작전을 진행하면서 약 80만 개의 웹 도메인을 확보, 압수, 폐쇄시켰으며, 30개가 넘는 서버를 압수했고 220개 이상의 서버를 폐쇄시키는 데 성공했다. (상세 기사 클릭)

그래서 12월 1일부터 아발란시 및 같이 폐쇄된 20개 봇넷이 퍼트리는 멀웨어에 감염됐던 컴퓨터들은 ‘자유의 몸’이 되었다. 이때 ‘자유’란 C&C 서버로부터의 연결이 끊겼다는 말이다. 하지만 멀웨어 감염 자체는 해결되지 않고 남아있다. 유로폴과 국제적 기관들 및 수사기관들의 공조가 분명 큰 업적을 이룬 것은 맞지만, 아직 그 일이 다 끝난 건 아니라는 뜻이다.

보안 전문업체인 비트디펜더(Bitdefender)가 먼저 감염 문제를 해결해주는 툴킷을 개발해 무료로 배포하기 시작했다. 이 툴킷은 이번에 폐쇄된 봇넷들이 퍼트리던 대표적인 멀웨어 20개를 탐지해 제거해주는 기능을 가지고 있다. 다운로드 받아 실행만 시키면 끝이다. 비트디펜더는 “이 툴킷을 최대한 많은 사람들에게 권해주길 바란다”며 그 이유에 대해 “봇넷이 다시 부활하는 걸 막거나 최대한 연기시키려면 감염된 컴퓨터를 되도록 많이 회복시켜야 하기 때문”이라고 설명했다.

실제 봇넷이나 다크웹 암시장 폐쇄 작전이 아무리 성공적이어도 사이버 범죄자들은 금방 새로운 플랫폼을 개발해 활동을 재개한 예가 많다. 해당 툴은 여기를 클릭해 다운로드 받을 수 있다.

사우디라아라비아의 샤문 공격
한편 4년 만에 또 다시 샤문(Shamoon) 공격을 받았지만 세부 내용을 공개하지 않아 궁금증만 자아내던 사우디아라비아의 민간항공청(GACA)에서 “별 피해가 없었다”고 최근 발표했다. 사우디아라비아는 4년 전 석유 공영 회사인 사우디아람코(Saudi Aramco)에서 샤문 공격을 목격한 바 있다. 현재까지 용의자는 이란이지만, 근거가 매우 빈약하다.

샤문은 디스트랙(Disttrack)이라고도 불리며, 감염시킨 시스템의 하드디스크를 완전히 삭제하는 기능을 가지고 있다. 2012년에는 3만 대가 넘는 시스템이 벽돌로 변했고, 커팅 소드 오브 저스티스(Cutting Sword of Justice)라는 단체가 자신들의 소행이라고 주장했었다. 올해도 민간항공청 외 여러 정부기관이 피해를 본 것으로 전해졌으나 공식적인 발표는 없어 정확한 피해규모는 짐작만 하고 있는 상태다.

그런 와중에 민간항공청은 자사 웹사이트를 통해 “해커들이 운항 시스템이나 공항들 간 네트워크에 침투하지는 못했다”며 “공항과 사내 구축된 강력한 보안 장치들 덕분”이라고 발표했다. “민간항공청은 직원들용 PC 일부에서 공격의 징후들로 보이는 현상들을 발견했습니다. 그래서 해당 시스템의 분리 및 격리 등, 필요한 조치를 즉각 취해서 감염이 퍼지는 걸 막을 수 있었습니다. 현재 감염된 데이터의 복구 작업을 진행 중에 있으며 직원들에게 보안 조치가 돼 바이러스가 없는 깨끗하고 안전한 기기들을 지급하고자 합니다. 업무도 금방 정상 궤도에 올랐습니다.”

사우디아라비아는 어떤 정부를 지목하여 비판하지도 않고, 피해 규모를 공개하지도 않고 있으며, 오직 항공사 하나만을 통해 ‘우린 끄떡없다’는 메시지만 전달하고 있다. 하지만 블룸버그는 “샤문 공격을 받은 다른 네 개 기관들에는 엄청난 피해가 발생했다”고 보도했다. 한편 석유 패권을 놓고 사우디와 오랜 시간 경쟁해온 이란 측에서도 아무런 발표를 하고 있지 않은 상태다. 다만 이란은 최근 해킹 능력 및 사이버전 수행능력이 급부상하고 있는 국가로 꼽히고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>