누구나 봇넷을 독자적으로 만들 수 있게 해주는 멀웨어
생태계 꾸린 범죄 행위 늘어나, 방어도 생태계 꾸려서 해야

[보안뉴스 문가용 기자] 아직 베타 형태의 멀웨어 드로퍼가 암시장에서 단돈 50달러에 거래되고 있는 것이 발견됐다. 판매자의 주장에 따르면 이 제품은 구매자가 자신만의 봇넷을 만들 수 있게 해준다고 한다. 즉 봇넷을 만들어 다른 범죄자들에게 판매할 수 있는 멀웨어라는 것이다.


이를 발견한 건 보안 업체 넷스카웃 아버(NetScout Arbor)이며, 멀웨어의 이름은 카돈 로더(Kardon Loader)다. “현재 카돈 로더는 매우 싼 가격에 판매되고 있는데, 그 이유가 아직은 베타 단계에 있기 때문입니다. 판매자가 찾는 건 유료 테스터죠. 누군가 다른 사람의 시스템을 감염시키고 봇을 만드는 실험을 해주길 바라는 겁니다.”

판매자는 카돈 로더가 분석 방해 기능도 가지고 있다고 광고하고 있다. 보안 전문가들이 카돈 로더를 발견하거나 50달러에 구매해도 분석하기 어려울 것이라는 메시지이기도 하다.

하지만 여러 정황을 봤을 때 카돈은 옛 봇넷인 제로쿨(ZeroCool)의 또 다른 이름인 것으로 보인다. 제로쿨은 그리 유명하지 않은 봇넷으로, 활동량이 그리 많지 않았다. 겨우 124번의 감염 시스템만이 발견되었을 뿐이다. 어쩌면 같은 공격자가 리브랜딩을 통해 돈을 더 벌고 싶은 것일지도 모른다.

그 외에도 카돈에는 - 광고에 따르면 - 토르 통합과 사용자 모드 룻키트 기능 등 다채로운 성능을 자랑하고 있다. 하지만 아버의 전문가들은 “일부 기능은 과장된 것으로 보인다”고 설명한다. “저희가 분석한 바이너리에서는 토르나 룻키트 관련 기능이 전혀 없었습니다.”

카돈 로더가 아버의 눈에 처음 포착된 건 2018년 4월 21일의 일이다. 야타즈(Yattaze)라는 이름의 해커가 한 포럼에서 카돈 로더를 광고하기 시작한 것이다. 당시 야타즈는 “카돈 로더를 계속해서 향상시킬 예정”이라고 약속했었다. 그리고 카돈이 나타난 건데, 아버는 “아직 베타 단계이긴 하지만 악성 행위를 차단하는 방편을 각 조직들은 마련해야 할 것”이라고 권고한다.

또 다른 보안 업체 코레로 네트워크 시큐리티(Corero Network Security)의 제품 개발 총괄인 션 뉴먼(Sean Newman)은 “봇넷을 누구나 만들 수 있는 멀웨어가 등장했다고 해서 사이버 범죄자들의 기술이 뛰어나게 발전했다고 말하기는 힘들다”고 설명한다.

“이미 범죄에서 봇넷이 차지하는 비율을 우린 잘 알고 있습니다. 외로운 늑대형 해커는 씨가 말랐다고 누구나 동의하는 시대입니다. 현대의 사이버 범죄는 하나의 생태계를 이루면서 발현합니다. 누구는 기술을 팔고, 누구는 돈으로 기술을 사죠. 누구는 뒤에서 멀웨어를 만들어주고, 누구는 앞에서 그것을 가지고 실제 공격을 진행하고요. 그러니 봇넷이 발전하게 된 것이고, 그런 타이밍에 ‘셀프 봇넷 제작 멀웨어’가 등장했다는 건 놀라울 게 없는 일입니다.”

그러면서 뉴먼은 “범죄자들이 생태계를 꾸려 우리를 공격하고 있다는 건, 방어자들 입장에서도 방어의 생태계를 조성해야 한다는 뜻”이라고 강조했다. “집단 공격을 혼자서 막을 수 있는 능력자는 현실 세계에 존재하지 않죠.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>