안드로이드 환경에서 탄생하고 자란 대형 디도스 봇넷
민간 업체들끼리 연구와 분석 함께 진행...모범 사례될 수도

[보안뉴스 문가용 기자] 여러 보안 업체들이 손을 잡고 안드로이드 기기를 기반으로 한 봇넷을 무력화시키는 데 성공했다. 이 봇넷의 이름은 와이어엑스(WireX)이고, 숙박, 도박, 포르노, 도메인 등록 관리 등 여러 산업에 걸친 표적들을 대상으로 DoS 공격을 실시하는 데 사용되고 있었다.


와이어엑스가 안드로이드 생태계에서 서식한다는 소식을 들은 구글은 즉각 플레이 스토어를 점검했고, 약 300개의 악성 앱을 제거했다. 이 앱들은 안드로이드 기기들을 감염시켜 와이어엑스 봇넷에 편입시키고 있었다고 한다. 현재 구글은 전 세계 곳곳의 안드로이드 기기들에 침투해 있는 멀웨어 제거 작업에 돌입해 있는 상태다. 정확한 기기의 수는 비공개다.

와이어엑스가 처음 모습을 드러낸 건 8월 2일로 보인다. 하지만 8월 15일까지는 거의 아무런 관심을 받지 못했다. 꽤나 길고 규모가 큰 디도스 공격이 와이어엑스로부터 약 7만개 IP 주소를 겨냥해 감행되기 시작하면서, 보안 전문가들이 와이어엑스 쪽으로 눈을 돌렸다. 이 공격을 분석해보니 디도스 트래픽의 출처는 약 100여개 국가인 것으로 나타났다.

와이어엑스를 수사하는 데 힘을 합한 기업들은 아카마이(Akamai), 플래시포인트(Flashpoint), 클라우드플레어(Cloudflare), 오라클 딘(Oracle Dyn), 리스크아이큐(RiskIQ), 팀 사임루(Team Cymru)다. 이 기업들은 합동으로 블로그 포스팅을 통해 자신들이 함께 조사해온 바를 공개했는데, 그 내용에 의하면 와이어엑스는 “대용량 디도스 공격을 수행하는 봇넷”이며 “애플리케이션 층위를 노린다”고 한다.

“침해된 안드로이드 기기들이 발생시키는 트래픽은 대부분 HTTP GET　요청으로, 마치 정상적인 클라이언트와 웹 브라우저로부터 오는 것처럼 보입니다. 가끔은 HTTP POST 요청과 꼭 닮아 보이기도 합니다.” 블로그의 내용이다. “또한 100개가 넘는 국가로부터 공격에 사용되는 트래픽을 발생시키는 것도 꽤나 이례적입니다.”

와이어엑스의 특이한 점은 “HTTPS를 푸시할 수 있는 기능을 가지고 있다는 것”이기도 하다. “일반적인 HTTP 트래픽으로 공격을 하는 것보다 HTTPS 트래픽으로 공격을 하게 되면 자원 소모가 훨씬 더 크게 일어납니다.” 플래시포인트의 보안 디렉터인 앨리슨 닉슨(Allison Nixon)의 설명이다. “와이어엑스 봇넷 자체의 크기도 정말 커요. 이렇게 큰 것도, HTTPS를 푸시한다는 것도, 100개 국가에서부터 트래픽을 보낸다는 것 모두 굉장히 특이한 일입니다.”

아카마이의 보안 아키텍트인 팀 에이프릴(Tim April)은 “와이어엑스를 통한 가장 큰 공격 규모는 1분당 1백 1십만 건의 HTTP 요청”이었다고 말한다. “애플리케이션 층위를 겨냥한 디도스 공격의 경우 초당 대역폭 숫자는 그다지 중요한 의미를 갖지 못합니다. 이런 요청들은 네트워크 볼륨보다는 서버 과부하를 일으킬 확률이 더 높기 때문입니다.”

와이어엑스 봇넷으로부터 발생하는 트래픽의 또 다른 특징은 사용자 에이전트 문자열(user-agent string)에 영어 알파벳의 모든 글자들이 소문자로 저장되어 있다는 것이다. 이 때 순서는 무작위다. 사용자 에이전트 문자열은 HTTP 요청의 헤더로, 사용자가 웹 콘텐츠에 접근할 때 읽거나 상호작용을 하는 부분이다.

“26개의 문자로 된 길이의 랜덤한 사용자 에이전트 문자열이 반복적으로 등장한다는 게 가장 먼저 눈에 띄었습니다.” 클라우드플레어의 신뢰 안전 수석인 저스틴 페인(Justin Paine)의 설명이다. 이는 아카마이 역시 주목했던 부분으로, “두 회사가 같은 부분을 추적 및 분석하고 있다는 걸 알게 되면서 함께 연구 결과를 나누기 시작”했다고 한다. 비공식적인 공조가 이렇게 시작되었다.

플래시포인트의 닉슨은 “이번 와이어엑스 사건의 가장 큰 차별점은 기업들이 수사기관의 중개 없이 알아서 협조 체제를 구축했다는 것”이라고 설명하며 “이번 사건을 통해 업체들이 정보를 공유했던 동기와 이유, 방법 모두가 선례를 세워 앞으로 각종 사이버 공격에 보안 전문가들이 공동으로 대처할 수 있기를 바란다”고 말했다. “보통 공격이 일어나면 각자가 나름의 연구와 추적을 시작하는 게 관례였지만, 이제 좀 바뀔 때가 되었습니다. 가장 조용했던 때가, 이젠 가장 시끄러울 때여야 합니다.”

리스크아이큐의 위협 전문가인 데런 스프루엘(Darren Spruell)은 “업체들끼리 경쟁을 하는 건 당연하지만, 그런 와중에 범죄라는 공동의 적에 함께 맞섰을 때 얼마나 큰 힘을 발휘할 수 있는지 증명됐다”며 “와이어엑스와 같은 현대의 공격은 전 세계적인 단위로 일어나기 때문에 여러 기업들이 협력하지 않으면 대처가 불가능하다”고 말한다. “공격자나 방어자나 공동 전선을 펼 수밖에 없는 환경이 된 것이죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>