도메인 생성 알고리즘 사용해 도메인 늘리면서 항상 연결 상태 유지했던 봇넷
최근 다시 활발하게 활동 시작...때마침 MS가 알고리즘 분석 성공해 주요 도메인 차단

[보안뉴스 문가용 기자] 마이크로소프트가 악명 높은 네커스(Necurs) 봇넷을 일부 차단하는 데 성공했다고 발표했다. 네커스는 P2P 하이브리드 봇넷으로, 도메인 생성 알고리즘(DGA)을 사용해 봇과 C&C 서버가 항시 연결 상태를 유지하도록 하고 있으며, 최소 2012년부터 존재해온 것으로 알려져 있다. 현재는 가장 활발한 봇넷 중 하나다.


봇넷의 운영자는 러시아의 사이버 범죄자들인 것으로 알려져 있다. 이메일 크리덴셜 및 개인정보 탈취, 주가 조작, 멀웨어 배포 등의 사이버 범죄 활동에 사용되며, 게임오버 제우스(GameOver Zeus), 드리덱스(Dridex), 록키(Locky), 트릭봇(Trickbot) 등과 같은 멀웨어 활동과 연루된 적이 많다.

3월 1~7일까지 전 세계적으로 66만 번의 네커스 감염 공격이 이뤄졌다고 보안 업체 비트사이트(BitSight)가 발표한 바 있다. 가장 피해가 큰 국가는 인도, 인도네시아, 터키였다. 그러면서 비트사이트는 “11개의 네커스 봇넷을 발견했는데, 그 중 4개의 활동이 눈에 띄게 활발했다”고 설명했다. 그 전까지 네커스는 약 1년 동안 잠잠한 상태였다. 이모텟(Emotet)이라는 새 강자에게 밀려난 탓이었다.

네커스의 강점은 P2P 기반 아키텍처를 보유하고 있다는 데에 있다. 이 때문에 사법 기관의 폐쇄 조치에 큰 타격을 입지 않는다. 이번에 마이크로소프트가 시도한 건 네커스 고유의 도메인 생성 알고리즘이다. 이 알고리즘을 공략함으로써 미국 지역에서 C&C 서버로서 사용되던 도메인들을 사법 기관과 함께 압수 및 비활성화 시키는 데 성공했다고 한다. 이제 알고리즘으로 새로운 도메인을 계속해서 등록시킴으로써 봇넷을 유지하던 전략이 미국 영토 내에서는 통하지 않게 된 것이다.

마이크로소프트는 공식 발표문을 통해 “봇넷의 도메인 생성 알고리즘을 상세히 분석해 600만 개가 넘는 고유 도메인을 정확히 식별해낼 수 있었다”고 설명했다. “이 작업에만 25개월이 걸렸다”고 하며, “그 결과를 전 세계 도메인 등록소에 전달해 네커스 봇넷이 새롭게 도메인을 등록하지 못하도록 손을 썼다”는 내용도 덧붙었다.

마이크로소프트의 부회장인 톰 버트(Tom Burt)는 발표문을 통해 “네커스 봇넷과 연루된 사이버 범죄 단체 및 그 활동들을 지난 8년 동안 추적해왔다”며 “가장 적절한 대책을 취했기 때문에 앞으로 네커스 봇넷 운영자들은 사이버 범죄 사업을 예전 만큼 원활하게 펼칠 수 없을 것”이라고 장담하기도 했다.

MS는 “멕시코, 콜롬비아, 대만, 인도, 일본, 프랑스, 스페인, 폴란드, 루마니아 등의 인터넷 서비스 제공업체, 도메인 등록소, 정부 산하 CERT 기관, 사법 기관 등과 현재 긴밀한 협조 체계를 구축하고 있다”고 밝히기도 했다. 이 협조 체계는 전 세계 인터넷 공간을 안전하게 만드는 데 기여하고 있다고 MS는 주장했다.

3줄 요약
1. 악명 높은 봇넷, 네커스의 기반이 되는 알고리즘을 MS가 25개월 동안 분석.
2. 이를 통해 숨어 있는 도메인들 600만 개를 전부 무력화시키는 데 성공.
3. 세계 도메인 레지스트리에도 알려 네커스의 확장을 광범위하게 차단하는 것도 시도.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>