• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

가상 화폐 채굴하는 본드넷, 어떤 공격도 가능하다 2017.05.08

가상화폐 채굴 위해 사용됐지만 추후 위험이 더 커
랜섬웨어, 광대역 디도스, 봇넷 대여까지 충분히 가능
기업은 WMI RAT와 백도어로 이중 위험에 처한 셈

[보안뉴스 오다인 기자] 수천 개의 서버로 구성된 대형 봇넷이 새롭게 발견되었다. 2016년 12월부터 활동을 시작한 것으로 보이며, 여태까지 1만 5천 대 이상의 기기를 감염시킨 것으로 드러났다. 이름은 본드넷(Bondnet)으로, 운영자의 주요 목적은 가상화폐 채굴이다. 주로 오픈소스 암호화 화폐인 모네로(Monero)를 노린다고 한다.

이 같은 사실은 지난 1월 보안 전문업체 가이코어 랩스(Guardicore Labs)의 가이코어 글로벌 센서 네트워크(GGSN: Guardicore Global Sensor Network)에 의해 밝혀져 4월 24일 발표됐다. GGSN란 전 세계 데이터 센터 곳곳에 심겨진 가짜 서버 네트워크로, 이 가짜 서버 하나하나는 하니팟처럼 해커들을 속이는 기능을 가지고 있다. 즉 글로벌한 하니팟 네트워크라고 볼 수 있다.

“본드넷을 운영하는 가장 큰 목적은 돈입니다.” 가이코어 랩스의 연구 부회장인 오프리 지브(Ofri Ziv)는 본드넷을 설명하며 이렇게 말했다. 일명 Bond007.01이라는 이름으로 활동하는 공격자는 매일 1천 달러에 해당하는 모네로 동전을 획득하려고 원거리에서 이 봇넷을 관리 및 조종한다.

ⓒ iclickart


“그러나 가상 화폐를 획득하려고 운영자가 마련한 본드넷은 여러 범죄 행위에 활용될 여지가 있습니다. 본드넷에 묶여 있는 수천 개 서버에 랜섬웨어를 뿌릴 수도 있고, 광대역 디도스(DDoS) 봇넷도 만들 수 있기 때문입니다.” 지브는 설명을 이어갔다.

봇넷 대여 사업을 벌이는 것도 불가능한 일이 아니다. 지브는 “본드넷에 소속된 시스템들은 다양한 기업, 대학기관, 정부 기관에 속해 있기도 하다”며 “본드넷을 대여하게 되면 이러한 기관들에 자유롭게 출입할 수 있다는 뜻이 된다”고 말한다. “대여 공고가 뜬다면 꼭 범죄자가 아니더라도 많은 이들이 연락을 취하고 싶을 겁니다.”

GGSN의 연구원들은 본드넷 운영자가 대부분 윈도우 서버 운영체제가 설치된 기기를 공격한다는 걸 발견했다. 오래된 취약점들이나 사용자 이름과 비밀번호 조합이 활용됐다. TCP 포트를 스캐닝 함으로써 열린 포트가 존재하는 IP 주소 정보를 뽑아내는 윈에그드롭(WinEggDrop)을 활용해 새로운 사냥감을 찾되, 이미 널리 공개된 익스플로잇을 가지고 있는 시스템들을 골라서 노렸다.

그런 시스템들에는 윈도우 관리 인터페이스(WMI) 백도어를 심었다. WMI 백도어를 통해 C&C 서버와의 통신이 가능해지고, C&C 서버와의 통신이 성립되어야 시스템 통제나 데이터 탈취, 랜섬웨어 공격 등이 가능해지기 때문이다. 본드넷의 C&C 서버는 매일 2천 대의 기기와 통신을 주고 받았다. 또한 약 500대의 새 기기들이 이 봇넷에 추가됐고, 비슷한 수가 공격자의 손아귀에서 풀려났다.

“본드넷의 지배 하에 있는 서버를 둔 기업들은 두 가지 위험에 처해 있는 셈”이라고 지브는 지적했다. “하나는 WMI RAT을 통한 공격과 또 다른 하나는 백도어 사용자를 통한 공격입니다. 공격자가 어떤 경로를 활용하든 결국 서버를 마음대로 통제할 수 있다는 건 같습니다. 즉, 둘 다 잘 막아야 한다는 뜻이 되죠.”

백도어 사용자라 함은 Bond007.01이 뚫어놓은 길을 발견해 활용하기 시작한 이를 말한다. 본드넷을 대여하는 사람일 수도 있고, 인터넷 상에서 이런 백도어를 검색해 찾아낸 사람일 수도 있다. 지브는 “이 백도어가 원격 실험을 하기에 용이하게 만들어져 있어 인터넷 검색을 통해 제3자가 발견한다는 게 어려운 일이 아니”라고 말하며 “Bond007.01 외에도 여러 사람의 다양한 공격이 들어갈 수 있다는 뜻”이라고 설명했다. 랜섬웨어부터 완전한 감염까지 사실상 모든 사이버 공격에 노출되어 있다는 것이다.

자사를 지킬 방법을 찾는 기업들이라면 반드시 모든 서비스, 그 중에서도 특히 인터넷과 연결된 서비스들을 모니터링 해야 한다. 리소스 사용량이 치솟았거나 예상 밖의 네트워크 연결 등이 발생한 부분을 주시해야 한다. 네트워크 기반의 모니터링 시스템을 마련한다면, 정보보안 업계에 이미 알려진 멀웨어를 탐지하거나 수상한 행동을 미리 발견해내는 것도 가능하게 된다.

지브는 인터넷에 연결된 서비스는 제재 아래 또는 잠김 상태로 운용돼야 한다고 주장한다. 예컨대, MySQL 서버는 본드넷의 가장 흔한 침해 대상이다. 무작위로 SQL 명령이 작동하는 걸 막기 위해 MySQL를 잠가두는 것은 이런 공격으로부터 감염 매개체를 보호하는 일이다.

“더불어 모든 WMI 활동과 사용자 계정을 정기적으로 모니터링 하는 것이 중요하다”고 지브는 말을 이었다. “사용자 비밀번호가 갑자기 바뀌었다면 해당 보안 팀에 그 사실을 미리 알려둘 수 있습니다. 그러면 보안 팀에서 그 계정을 주시하고 있으면서 이유를 조사할 수 있게 되죠. 미리 대처하거나 빠르게 대응하는 게 가능해진다는 겁니다.”
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>