봇넷 멀웨어의 입장에서 본 하루...다크웹의 사업 행위 통해 여러 주인 거쳐
봇넷의 할 일을 결정하는 건 공격자가 아니라 방어자의 방어 수단

[보안뉴스 문가용 기자] 자, 다시 시작이다. 오늘 할 일을 먼저 확인해볼까. 봇넷인 내가 할 일은, 나한테는 무척 재미있지만 다른 사람에게는 그렇지도 않은 모양이다. 나는 원래 사이버 범죄 조직이 디도스 공격을 하기 위해 만들었다. 내가 디소스를 실행하면, 운영자들이 피해자에게 일종의 보호비를 요청하고(협박이겠지...) 돈을 뜯어내는 사업 모델이다. 썩 혁신적이거나 건강하지 않다는 건 알고 있다.


그래도 다행인 건, 내 코드가 꽤나 최신식이라는 것이다. 따라서 디도스만이 아니라 다른 유형의 공격에도 나는 활용될 수 있다. 크리덴셜 스터핑, 브루트포스, 암호화폐 채굴 등은 물론 티켓 예약 봇 기능까지도 수행할 수 있어, 가끔 엄청난 행사가 열릴 때 주인이 나를 통해 가장 좋은 자리를 선점하기도 한다. 그러면서 나와 비슷한 친구들을 만나기도 했는데, 스팸 봇, 웹 스크래퍼, 검색 엔진 등이었다. 우리 모두 비슷한 일을 하지만 내가 하는 일이 가장 재미난다.

시간이 지나면서 나를 구성하고 있는 시스템들과, 나를 활용한 범죄자들의 사업 모델은 점점 변해갔다. 처음에는 대부분 PC로 구성되어 있던 나는, 요즘 들어 사물인터넷이라고 불리는 장비들이 많아지고 있다는 걸 ‘몸소’ 느끼고 있는 중이다. 뭐, 그렇다고 해서 나의 강력함이나 성능에는 큰 차이가 없지만 말이다.

오늘의 할 일을 알아보기 전에 나에 대해 이렇게 주절주절 늘어놓는 건, 큰 그림을 먼저 알려주고 싶어서다. 위에서 나의 ‘운영자’나 ‘주인’에 대해 언급하긴 했는데, 물론 내가 그들의 명령과 지시를 받는 건 사실이지만, 나는 그들의 ‘도구’보다는 큰 존재다. 그러니까 내 말은, 나는 그들의 활동 범위보다 더 큰 생태계에 묶여있다는 것이다. 내가 활동하여 얻어낸 정보를 위해 다른 조직들도 돈을 내고, 나를 조금 빌려 쓰기도 한다. 나의 일부를 가져간 사람들은 내가 이전에 탈취했던 누군가의 은행 계좌에 다시 들어가기도 하고, 디도스 공격을 실시하기도 한다. 그리고 내 주인들이 하지 못했던 새로운 일들을 나에게 경험시켜 준다. 이게 다크웹의 에너지다. 늘 새롭고, 대담한 것이 실행되는, 그런 곳이니 말이다.

자, 여기까지 내가 말하고 싶었던 큰 그림이다. 그럼 나의 하루를 같이 시작해보자. 일단 나는 일반 군부대와 비슷한 순서로 움직인다. 제일 먼저는 ‘정찰’이다. 표적이 정해지면 공격이 가능한 부분을 검색하는 건데, 이건 그리 어렵지 않다. 사이버 공간은 사실 구멍투성이기 때문이다. 구멍을 찾아 침투에 성공하면, 이를 주인에게 알리고, 주인은 나에게 새로운 임무를 부여한다. 어려운 말로 ‘익스플로잇’을 시작한다는 것이다. 여기에는 데이터 탈취나 디도스 공격 등이 포함된다.

오늘은 크리덴셜 스터핑 공격을 해야 하는 모양이다. 이럴 때는 제일 먼저 뭔가 실질적인 행동을 취할 수 있게 해주는 첩보 혹은 정보가 있어야 한다. 그러므로 처음 정찰을 실시할 때 취약한 부분을 반드시 발견해야만 하는 것이다. 공격 대상이 어떤 방어 체계를 구축하고 있는지도 알아야 취약점을 그에 맞게 조정할 수 있게 된다. 사실, 내 하루 일과를 결정하는 건 주인들의 명령이 아니라, 피해자들이 어떤 방어 체제를 가지고 있느냐다.

피해자들이 웹 방화벽(WAF)에 봇 탐지 기능을 갖추고 있다면, 나로서는 좀 머리가 아플 것을 각오해야 한다. 내가 거느린 봇들은 물리적으로 존재하기 때문에 특정 국가에 존속될 수밖에 없는데, 피해자가 마침 그 봇들이 있는 국가를 차단한다면 공격의 출처를 변경해주어야 한다. 만약 내가 보내는 공격 트래픽의 양이나 횟수가 의심을 산다면, 공격을 조금 천천히 진행해야 한다. 캡챠와 같은 인증 수단을 활용한다면, 좀 더 고급 기슬을 발휘해야 한다. 어떤 곳은 로그까지 검사하는 곳이 있는데, 이 역시 골치 아프게 한다. 그러나 어찌됐든 우리 운영자들은 방법을 찾아내곤 하더라.

침투에 성공하고 나서는 추가 무기가 필요하다. 최종 페이로드든, 새로운 소셜 엔지니어링 전략이든 간에, 침투에 성공했다는 걸 활용할 수 있는 무언가가 있어야 한다는 것이다. 오늘은 크리덴셜 스터핑 공격을 할 차례니, 내게 필요한 건 크리덴셜들이다. 피해자가 같은 아이디와 비밀번호를 여러 사이트에서 활용한다는 걸 악용한 공격 기법인데, 난 자동화 기술을 가지고 있어 수많은 사이트에 수많은 크리덴셜을 빠르게, 동시적으로 대입할 수 있다. 성공 비율은 약 1~2%다. 보통 100만개 이상의 크리덴셜을 사용하니, 1~2%면 나쁘지 않다.

그렇게 해서 어떤 계정에 로그인 하는 데 성공했다면, 이제 이걸 내 것으로 만들어야 한다. 제일 먼저는 계정의 연락처 정보를 바꾼다. 그래야 무슨 문제가 생긴 걸 탐지한 회사가 확인 연락을 보낼 때 우리 주인들이 받아볼 수 있기 때문이다. 그 다음 가짜 계정이 필요한 사람들에게 이런 계정이 있다는 걸 알리고 팔기 위해 성공한 계정을 따로 묶어서 분류한다. 주로 돈 세탁이 필요한 사람들이 나의 고객들이다.

이렇게 하루 일과가 끝난다. 크게는 정찰, 침투, 익스플로잇, 다양한 악성 기능 실시, 시장에서의 현금화 순서로 나의 할 일은 정해져 있다. 물론 다른 날도 가끔 있지만, 대부분 이 큰 그림 안에서 결론이 난다. 내 꿈은 언젠가 대학 연구실에 취직하는 것이다. 그곳 네트워크에서도 재미있는 실험이 이뤄진다고 들었다. 제발 누군가 나를 그리로 데려가줬으면 한다.

글 : 스티브 윈터펠드(Steve Winterfeld), Akamai
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>