사이버 범죄에서 악성 네트워크, 이른바 멜넷(Malnet)이 화두의 중심에 서 있다. 이는 블루코트 보안 연구소가 2일 악성코드 보고서(Mid-Year Malware Report)를 통해 발표한 내용이다.
이 업체는 멜넷의 수가 현재 1,500여 곳으로 6개월동안 300%가 증가했으며, "2012년 악성 사이버 공격의 2/3가 멜넷에 의한 것"이라고 분석했다.
멜넷은 사이버 범죄자들이 사용자들을 지속적으로 공격하기 위해 구축, 관리, 유지하는 인터넷의 분산형 기반을 일컫는 용어다. 여기에는 사용자의 악성코드 피해를 유도하는 수천 도메인, 서버, 웹사이트가 포함되어 있다.
블루코트에 따르면, 멜넷은 그 효과성으로 인해 아주 빠른 속도로 확산되고 있는 추세다. 멜넷 공격은 5단계로 구성되어 있다. 먼저 신뢰할 수 있는 사이트나 소스에서 이메일을 보내거나 다운로드를 받도록 하는 등 여러 방법을 동원해 사용자를 악성코드로 유도한다.
그러면 사용자의 컴퓨터가 트로이의 목마에 감염이 된다. 이렇게 컴퓨터가 감염되면 봇넷(botnet)을 사용, 감염된 장치에서 이메일 연락처로 스팸을 보내는 방법 등으로 사용자를 멜넷으로 유도한다.
이 보고서는 "이렇게 감염된 시스템을 이용해 피해자의 개인 정보나 돈을 훔칠 수 있다. 또한 경우에 따라서는 인접 장치를 공격하는 시스템으로 악용한다"고 분석했다.
블루코트 시스템의 악성코드 연구원 팀 반 데르 호스트에 따르면, 멜넷은 유기적이고 자발적인 생존 속성을 갖는다. 제거가 아주 힘든 속성 가운데 하나다.
반 데르 호스트는 "사용자가 감염이 되면 결국 봇넷의 봇이 되고 만다. 지휘통제 서버와 통신을 해 그 결과를 범죄자에게 보내는 것"이라고 설명했다.
간단히 설명하면, 범죄자가 감염된 컴퓨터의 기능 모두를 손에 넣게 된다.
반 데르 호스트는 "범죄자들은 컴퓨터의 어떤 기능도 작동시킬 수 있다. 온라인 은행 거래에 쓰이는 인증 정보를 훔치거나, 감염된 컴퓨터에서 연락처에 이메일을 보내는 식으로 새로운 공격을 시작할 수 있다. 신뢰할 수 있는 소수에서 발송된 이메일이기 때문에 사람들이 방심하기 쉽다"고 말했다.
멜넷은 지리적 경계를 뛰어넘어 확산이 된다는 특징도 갖고 있다. 특정 국가에서 멜넷을 폐쇄하더라도 다른 국가에서 계속 유사한 공격을 할 수 있다는 의미다. 멜넷의 목적은 APT(Advanced Persistent Threat)와 다르다. 보고서에 따르면, '한 번의 검색으로 100만 명을 공격하는 것이 아니라, 백만 번의 검색으로 백만 명을 공격하는 것이다.'
그런 후 블루코트의 표현을 빌자면 인터넷의 '워터링 홀(여러 사람이 거쳐가는 술집)'을 공격한다. 웹 콘텐츠 요청 가운데 2/3는 검색 엔진과 관련이 있다. 그러나 소셜 네트워킹과 동영상/ 음성 클립도 인기있는 항목이다.
이와 관련해 보고서는 "시스코 비주얼 네트워킹 지수(Cisco Visual Networking Index)는 2016년에는 전세계 소비자 트래픽의 86%를 동영상이 차지할 것으로 전망했다. 그리고 동영상 트래픽이 늘어나면, 가짜 동영상 코덱을 가장한 사회공학적 공격이 사용자가 악성코드를 다운로드 받도록 유도할 것"이라고 분석했다.
이들은 종종 호스트 네임을 바꾸는 능력을 갖고 있다. 세계 최대 멜넷인 슈나쿨(Shnakule)은 첫 9개월동안 무려 5만 6,000여 차례 지휘통제 서버의 호스트 네임을 바꾸기도 했다.
블루코트에 따르면, 이런 유형의 공격에 기존의 서명 기반 방어는 무용지물이다. 기업들이 스스로를 보호하는 가장 좋은 방법 가운데 하나는 직원 교육을 강화하는 것이다.
검색 엔진에서 독이 되는 결과를 피하는 방법으로는 ▲해당 국가와 직접 관련이 있는 검색이 아니라면 IN, RU, TK 등 다른 국가에 호스팅된 정보를 피하고, ▲기계를 이용해 만든 것으로 판단되는 텍스트 결과를 피하고, ▲의심스러운 결과를 피한 상태에서, 나머지 결과 가운데 하나를 클릭하는 것이다.
또다른 방법은 가능한 빨리 패치와 기타 보안 업데이트를 설치하는 것이다. 이는 아주 간단하지만 종종 간과되곤 하는 보안 대책이다. 보고서는 패치가 나와있더라도 사용자가 이를 설치하지 않았으면 무용지물이다. 예를 들어 'Conficker/Downandup' 봇넷이 등장한지 4년이 넘었지만 아직까지 감염된 시스템이 있다"고 지적했다.
반 데르 호스트는 "멜넷을 막는 가장 효과적인 방법은 새로운 위협을 앉아서 기다렸다가 나중에 이를 차단하기보다는 이런 공격의 원천 역할을 하는 멜넷 기반을 파악해 이를 차단하는 것"이라고 강조했다.
이는 새로운 공격이 있기 전에 이를 예방하는 방법이다. 블루코트는 이를 '네가티브 데이 디펜스(Negative Day Defense)'라고 부른다. 이는 특정 위협의 유형에 구애받지 않는 방어 방식이다. 위협을 전달하는 메카니즘을 차단하는 방어 방법이기 때문이다. editor@itworld.co.kr