• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

전 세계 C&C 인프라의 35%가 미국에 있다 2018.10.23

미국, 인터넷 망 잘 마련되어 있고 국제 관계가 좋은 곳이라 해커들 선호
세계의 해커들, 경찰과 사법망 피해 다른 나라에 공격 인프라 마련

[보안뉴스 문가용 기자] 피싱 공격으로 배포된 멀웨어의 침해 지표(IoC) 중 약 30%가 미국에 위치하거나 미국을 통한 C&C 인프라와 연루된 것으로 나타났다. 이 말을 보다 쉽게 풀이하면, C&C 인프라를 통한 멀웨어 배포가 가장 많이 이뤄지는 나라가 미국이라는 것이다.

[이미지 = iclickart]


미국은 전 세계 C&C 인프라의 35%를 호스팅하고 있다. 그 다음은 러시아이지만 11%에 그치고 있다. 그 후로는 순서대로 네덜란드(5%), 독일(5%), 캐나다(3%)가 뒤를 잇고 있다. 이는 보안 업체 코펜스 인텔리전스(Cofense Intelligence)의 연구원들이 조사해 발견한 것이다.

하지만 코펜스 측은 “그렇다고 미국의 시민들이 비정상적으로 멀웨어나 피싱 공격에 당하고 있다는 뜻은 아니”라고 강조한다. “다만 사이버 공격자들이 자신들이 거주하고 있지 않은 나라에 C&C 인프라를 마련해 경찰의 체포로부터 자유로워진 채 활동하고 있다는 것을 보여주고 있습니다.”

코펜스가 이번에 연구한 C&C 인프라는 공격자들이 통신과 멀웨어 제어에 활용하는 것으로, “해커들은 멀웨어와 C&C 서버를 연결해 새로운 모듈을 추가한다거나, 명령을 주입한다거나 훔친 데이터를 따로 빼돌리는 등의 행위를 한다”고 한다. “미국에 C&C 서버가 많다고 해서 미국인들이 더 많은 공격에 노출되어 있는 건 아닙니다.”

공격자들이 C&C 서버를 다른 나라에 설치하는 건 흔한 일이다. 코펜스의 수석 첩보 분석가인 대럴 렌델(Darrell Rendell)은 “표적을 직접 자기 집에서부터 공격하는 사람은 거의 없다”며 “자기 자신을 직접 노출시키는 해커는 아마추어뿐”이라고 말한다.

“미국은 인터넷 인프라가 잘 닦인 곳입니다. 그러므로 보다 강력하고 광범위한 공격을 할 수 있고요. 또 침해할만한 호스트도 미국에 굉장히 많습니다. 그러니 해커들이 선호하는 겁니다.” 그러면서 렌델은 “공격자들이 특별히 정치적으로 선호하는 국가가 따로 있는 건 아니”라고 말한다. “공격에 필요한 조건을 갖춘 나라가 그들에게 좋은 나라일 뿐입니다.”

또한 렌델은 공격자들이 찾는 것은 ‘기회’인데, 미국은 그런 면에서 꽤나 좋은 조건을 제공한다고 설명한다. “나라와 나라 사이의 신뢰라는 건 의외로 엄격하게 맺어집니다. 그렇기 때문에 어떤 나라에서는 다른 나라의 온라인 서비스가 차단되고 있기도 하고, 특정 국가에서 발생한 트래픽은 훨씬 더 엄격하게 검사를 받지요. 미국은 분명 적대적인 국가가 많이 있긴 하지만, 비교적 신뢰도가 높은 편입니다. 따라서 미국에서 공격 트래픽을 발생시켜도 차단당할 가능성이 낮습니다.”

트릭봇과 지오도
이번 C&C 인프라 연구와 밀접하게 관련된 멀웨어가 두 가지 있는데, 바로 트릭봇(Trickbot)과 지오도(Geodo)다. 둘 다 공격에 흔히 사용되는 뱅킹 트로이목마로 주로 서방 세계 국가들을 노린다. 그러나 그 출처가 매우 다양하기 때문에 여러 공격자들이 이 두 가지 멀웨어를 다양하게 활용하는 것으로 여겨진다.

코펜스 측은 트릭봇과 지오도 프록시 노드들 사이의 C&C 위치들을 분석했다. 그랬더니 이 두 가지 멀웨어 사이에 겹치는 부분이 상당히 많이 드러났다. “애초에 지오도 멀웨어는 과거에 트릭봇을 배포한 적이 있습니다. 또한 트릭봇과 지오도가 올해 초에 갑자기 함께 증식했고, 공격 빈도수도 함께 높아졌어요. 물론 배포 방법이나 감염 원리가 다 똑같은 건 아니었지만요.”

지오도는 정상적인 웹 서버들을 리버스 프록시로 활용하는 것이 특징이다. 또한 트래픽을 실제 서버들을 통과시켜, 숨겨진 C&C 인프라의 호스트로 보낸다. 반면 트릭봇은 가상 비밀 서버들을 사용해 악성 인프라를 구축한다. 또한 북미와 서유럽에 고루 C&C 인프라를 구축하고 있기도 하다.

현재 지오도는 잠시 활동을 멈춘 상태다. “아마도 공격자들이 기능을 업그레이드시키고 있는 듯 합니다. 아직도 C&C 서버와 통신을 하고 있는 지오도가 있긴 하지만 그것이 악성 공격이나 탈취한 정보를 빼돌리는 것은 아닙니다.” 그리고 트릭봇 역시 비슷하게 조용해졌다. “트릭봇이 가끔씩 이런 식으로 조용해지고 나면 반드시 업그레이드가 되어 나타났습니다.”

3줄 요약
1. 멀웨어 배포하는 전 세계의 C&C 인프라 중 35%가 미국에 있음.
2. 미국이 인터넷 기반도 잘 닦여 있고, 국제 관계에서도 비교적 괜찮은 위치에 있기 때문임.
3. 트릭봇과 지오도라는 뱅킹 멀웨어 두 가지에서 공통점들 발견됨.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>