2021.01.29

세계 최대의 봇넷 이모텟, 여러 국가의 협력으로 붕괴

Lucian Constantin | CSO
몇몇 국가의 법 집행기관들이 공동작전을 펼쳐 세계 최대의 봇넷 가운데 하나인 이모텟(Emotet)의 명령 제어 인프라를 장악했다. 이 봇넷의 붕괴가 영구적일지는 아직 지켜봐야 하지만 보안 전문가에 따르면 긍정적인 신호임은 틀림없다.
 
ⓒ Getty Images Bank
  
유럽형사경찰기구(Europol, 유로폴)는 27일 “이번 작전은 네덜란드, 독일, 미국, 영국, 프랑스, 리투아니아, 캐나다, 우크라이나 간 협력의 결과이고, 국제적 활동은 유로폴과 유럽사법기구(Eurojust, 유로저스트)가 조율했다. 이 작전은 범죄 위협에 대한 유럽 다학제 플랫폼(European Multidisciplinary Platform Against Criminal Threats, EMPACT) 프레임워크 내에서 수행됐다”라고 밝혔다. 


이모텟, 무엇인가? 

이모텟(Emotet)은 2014년부터 운영을 시작했는데, 지난 수개월 동안 보안 제품에 의해 가장 흔하게 검출되던 악성코드 계열이었다. 이는 온라인 뱅킹 인증정보를 탈취하려는 데 주력하는 트로이목마 프로그램으로 시작했지만, 시간이 지나면서 다른 사이버 범죄 집단이 자체 악성코드를 전개하거나 감염된 컴퓨터에 접근하는 데 이용하는 악성코드 서비스 플랫폼(malware-as-service platform)으로 진화했다.
 
이모텟은 보안 업계가 TA542로 추적하는 집단에 의해 운영되고, 주요 고객 가운데 한곳은 트릭봇(TrickBot)의 배후에 있는 집단이다. 트릭봇은 악명높은 류크(Ryuk) 랜섬웨어를 유포하는 것으로 알려진 봇넷이다. 이모텟/ 트릭봇/ 류크의 관계는 보안 업계에서 잘 알려져 있고, 기업들은 네트워크 상의 이모텟과 트릭봇 감염을 심각하게 취급하라고 반복적으로 경고를 받았다. 랜섬웨어의 전조가 되는 봇넷이기 때문이다.
 
트릭봇 명령 제어 서버는 지난해 10월 마이크로소프트가 개별적으로 주도해 섬멸 작전을 펼쳤지만, 이 봇넷은 완전히 괴멸되지 않았다. 마이크로소프트의 작전 이후에도 신종 트릭봇 샘플이 이모텟에 의해 계속 유포됐다. 예를 들어 큐봇(Qbot) 같은 다른 악성코드 프로그램을 이용하는 다른 사이버 범죄 집단 역시 유포를 위해 이모텟에 의존한다.
 
이모텟 자체는 주로 스팸 이메일을 통해 유포된다. 이는 소셜 엔지니어링을 통해 사용자를 속여 악성 매크로가 담긴 워드 문서, 허위 PDF 파일, 또는 감염된 워드 파일로 연결되는 URL을 열도록 유도한다. 

TA542의 스팸 활동은 청구서, 기타 재무 문서 등 일반적인 미끼를 이용하지만, 그 외에도 코로나19 팬데믹과 같은 세계적 및 지역적 사건을 악용하기도 한다. 이 범죄집단은 성공 확률을 높이기 위해 위협 하이재킹 등 고급 기법을 이용한다. 예를 들어 트로이목마가 감염된 컴퓨터에서 훔친 정당한 대화의 답장으로 위장하거나, 수취인의 실제 이름으로 수취인을 지정하고, 직위, 회사 이름을 제목에 포함시킨다.
 
멘로 시큐리티(Menlo Security)의 보안 연구 책임자인 비네이 피다달라에 따르면, 이모텟은 2020년 가장 널리 퍼진 악성코드였고, 이 회사의 글로벌 클라우드에서 이모텟 샘플이 가장 최근에 식별된 것은 1월 2일이다.

 
이모텟 습격 작전의 의미  

유로폴에 따르면, 이모텟의 인프라는 전세계에 퍼져있고 서로 다른 목적에 쓰이는 수백 대의 서버로 구성되어 있다. 예를 들어 봇넷이 습격 시도에 좀 더 유연하게 대응하도록 하는 것이다. 법 집행기관들은 내부로부터 인프라를 제어하는 것과 피해자를 자신이 통제하는 서버로 리다이렉트하는 것이 포함된 전략을 개발하기 위해 협력했다.
 
수사 활동의 일환으로 네덜란드 국가 경찰은 도난된 이메일 인증 정보 목록 등 이모텟이 사용한 서버로부터 데이터를 압수했다. 네덜란드 경찰은 사용자가 자신의 이메일 주소가 목록에 포함되어 있는지 확인할 수 있는 웹 페이지를 개설했다. 작전 중에 수집된 감염 컴퓨터에 대한 정보 또한 국가 CERTs와 공유됐고, 따라서 피해자를 확인하고 이들에게 연락할 수 있다. 

보안업체 인텔 471의 COO인 제이슨 패스워터즈는 본지와의 인터뷰에서 "이번 습격 작전이 이모텟의 운영에 장기적인 영향을 줄 것인지는 아직 알 수 없다. 이들 집단은 정교하고, 어떤 형태로든 복구할 것이다. 이모텟 자체는 복구 메커니즘이 내재되어 있는 것 같지 않지만 감염된 머신에는 예를 들어 큐봇, 트릭봇 등 다른 악성코드 역시 설치되어 있다. 이는 영향을 받은 봇을 복구하고 제어 하에 두는 한 수단이 될 수 있다”라고 설명했다.
 
패스워터즈에 따르면, 이들 사이버 범죄 집단 구성원은 전 세계에 걸쳐 다른 사법권역에 산재되어 있고, 이들 가운데 일부가 체포되어 법 집행기관에게 협조하도록 강요받는다고 해도 다른 구성원이 소스코드를 이용해 봇넷을 재구축할 수 있다. 그러나 신종 이모텟 기반 봇넷을 릴리즈 하려는 노력은 보안 사업자가 파악하기 어렵지 않을 것이다.
 
인텔 471이 가진 정보를 바탕으로 법 집행기관의 작전은 1월 26일 실행됐고, 봇넷 인프라를 운영한 혐의가 있는 몇몇 우크라이나인을 체포하는 데 성공했다. 패스워터즈는 “이는 매우 고무적이다. 발표에 관여한 국가들은 조직적인 사이버 범죄 집단 및 활동에 실질적 영향을 주는 데 필요한 것을 완벽하게 정리했다. 우크라이나에서의 작전이 특히 인상적이다. 역사적으로, 부패와 여타 제한적 요소들이 우크라이나에서의 법 집행기관의 효과적인 작전에 방해가 됐지만, 조직적 사이버 범죄의 진원지라는 점을 고려하면 우크라이나에서의 결과는 대단히 적절하다. ‘붕괴’와 ‘습격’의 차이는 범죄자가 실제로 체포했으냐의 여부다. 이는 습격 작전의 정점이고, 장기적 영향을 가질 수 있는 유일한 방법이다”라고 말했다. 

누스파이어(Nuspire)의 보안 애널리스트인 조시 스미스는 “이모텟이 감염된 웹사이트 이외의 것을 이용해 악성코드를 호스팅하고, 감염된 머신에 명령을 발송할 수 있도록 직접적인 통제 하의 봇넷을 위해 실제 서버들을 유지한 사례는 아직 없다. 이모텟 운영자는 상당한 금전적 타격을 받았고, 이들의 인프라는 오프라인 상태다. 운영자들이 재구축을 시도할 것일지는 아직 알 수 없지만, 이는 분명히 가능하다. 이모텟 운영자가 다른 봇넷과 협력해 악성코드를 유포할 가능성도 있다”라고 경고했다.
 
이번 작전으로 인해 이모텟이 괴멸되더라도 다른 봇넷 운영자가 서둘러 공백을 메우고 TA542의 고객에게 서비스를 제공할 것이다. 이는 사이버 범죄 세계에서 거물급 범죄자가 몰락하면 으레 벌어지는 일이다.
 
쿠델스키 시큐리티(Kudelski Security)의 글로벌 보안 전략 책임자인 프란시스코 도노소는 “조심해야 한다. 위협 행위자는 끊임없이 영리해지고 향상되고 있다”라고 말했다. 그러면서 “이런 일이 일어날 때마다 이들은 체포 위험을 줄이기 위해 취할 수 있었던 기술적 또는 운영적 안전 조치를 학습할 것이다. 전투의 양측에서 상당한 리소스가 소비되고 있고, 범죄자는 이들 봇넷을 구축하는 것에서 계속해서 가치를 발견할 것이다. 결국 이는 수십억 달러짜리 산업이다”라고 덧붙였다. editor@itworld.co.kr 


2021.01.29

세계 최대의 봇넷 이모텟, 여러 국가의 협력으로 붕괴

Lucian Constantin | CSO
몇몇 국가의 법 집행기관들이 공동작전을 펼쳐 세계 최대의 봇넷 가운데 하나인 이모텟(Emotet)의 명령 제어 인프라를 장악했다. 이 봇넷의 붕괴가 영구적일지는 아직 지켜봐야 하지만 보안 전문가에 따르면 긍정적인 신호임은 틀림없다.
 
ⓒ Getty Images Bank
  
유럽형사경찰기구(Europol, 유로폴)는 27일 “이번 작전은 네덜란드, 독일, 미국, 영국, 프랑스, 리투아니아, 캐나다, 우크라이나 간 협력의 결과이고, 국제적 활동은 유로폴과 유럽사법기구(Eurojust, 유로저스트)가 조율했다. 이 작전은 범죄 위협에 대한 유럽 다학제 플랫폼(European Multidisciplinary Platform Against Criminal Threats, EMPACT) 프레임워크 내에서 수행됐다”라고 밝혔다. 


이모텟, 무엇인가? 

이모텟(Emotet)은 2014년부터 운영을 시작했는데, 지난 수개월 동안 보안 제품에 의해 가장 흔하게 검출되던 악성코드 계열이었다. 이는 온라인 뱅킹 인증정보를 탈취하려는 데 주력하는 트로이목마 프로그램으로 시작했지만, 시간이 지나면서 다른 사이버 범죄 집단이 자체 악성코드를 전개하거나 감염된 컴퓨터에 접근하는 데 이용하는 악성코드 서비스 플랫폼(malware-as-service platform)으로 진화했다.
 
이모텟은 보안 업계가 TA542로 추적하는 집단에 의해 운영되고, 주요 고객 가운데 한곳은 트릭봇(TrickBot)의 배후에 있는 집단이다. 트릭봇은 악명높은 류크(Ryuk) 랜섬웨어를 유포하는 것으로 알려진 봇넷이다. 이모텟/ 트릭봇/ 류크의 관계는 보안 업계에서 잘 알려져 있고, 기업들은 네트워크 상의 이모텟과 트릭봇 감염을 심각하게 취급하라고 반복적으로 경고를 받았다. 랜섬웨어의 전조가 되는 봇넷이기 때문이다.
 
트릭봇 명령 제어 서버는 지난해 10월 마이크로소프트가 개별적으로 주도해 섬멸 작전을 펼쳤지만, 이 봇넷은 완전히 괴멸되지 않았다. 마이크로소프트의 작전 이후에도 신종 트릭봇 샘플이 이모텟에 의해 계속 유포됐다. 예를 들어 큐봇(Qbot) 같은 다른 악성코드 프로그램을 이용하는 다른 사이버 범죄 집단 역시 유포를 위해 이모텟에 의존한다.
 
이모텟 자체는 주로 스팸 이메일을 통해 유포된다. 이는 소셜 엔지니어링을 통해 사용자를 속여 악성 매크로가 담긴 워드 문서, 허위 PDF 파일, 또는 감염된 워드 파일로 연결되는 URL을 열도록 유도한다. 

TA542의 스팸 활동은 청구서, 기타 재무 문서 등 일반적인 미끼를 이용하지만, 그 외에도 코로나19 팬데믹과 같은 세계적 및 지역적 사건을 악용하기도 한다. 이 범죄집단은 성공 확률을 높이기 위해 위협 하이재킹 등 고급 기법을 이용한다. 예를 들어 트로이목마가 감염된 컴퓨터에서 훔친 정당한 대화의 답장으로 위장하거나, 수취인의 실제 이름으로 수취인을 지정하고, 직위, 회사 이름을 제목에 포함시킨다.
 
멘로 시큐리티(Menlo Security)의 보안 연구 책임자인 비네이 피다달라에 따르면, 이모텟은 2020년 가장 널리 퍼진 악성코드였고, 이 회사의 글로벌 클라우드에서 이모텟 샘플이 가장 최근에 식별된 것은 1월 2일이다.

 
이모텟 습격 작전의 의미  

유로폴에 따르면, 이모텟의 인프라는 전세계에 퍼져있고 서로 다른 목적에 쓰이는 수백 대의 서버로 구성되어 있다. 예를 들어 봇넷이 습격 시도에 좀 더 유연하게 대응하도록 하는 것이다. 법 집행기관들은 내부로부터 인프라를 제어하는 것과 피해자를 자신이 통제하는 서버로 리다이렉트하는 것이 포함된 전략을 개발하기 위해 협력했다.
 
수사 활동의 일환으로 네덜란드 국가 경찰은 도난된 이메일 인증 정보 목록 등 이모텟이 사용한 서버로부터 데이터를 압수했다. 네덜란드 경찰은 사용자가 자신의 이메일 주소가 목록에 포함되어 있는지 확인할 수 있는 웹 페이지를 개설했다. 작전 중에 수집된 감염 컴퓨터에 대한 정보 또한 국가 CERTs와 공유됐고, 따라서 피해자를 확인하고 이들에게 연락할 수 있다. 

보안업체 인텔 471의 COO인 제이슨 패스워터즈는 본지와의 인터뷰에서 "이번 습격 작전이 이모텟의 운영에 장기적인 영향을 줄 것인지는 아직 알 수 없다. 이들 집단은 정교하고, 어떤 형태로든 복구할 것이다. 이모텟 자체는 복구 메커니즘이 내재되어 있는 것 같지 않지만 감염된 머신에는 예를 들어 큐봇, 트릭봇 등 다른 악성코드 역시 설치되어 있다. 이는 영향을 받은 봇을 복구하고 제어 하에 두는 한 수단이 될 수 있다”라고 설명했다.
 
패스워터즈에 따르면, 이들 사이버 범죄 집단 구성원은 전 세계에 걸쳐 다른 사법권역에 산재되어 있고, 이들 가운데 일부가 체포되어 법 집행기관에게 협조하도록 강요받는다고 해도 다른 구성원이 소스코드를 이용해 봇넷을 재구축할 수 있다. 그러나 신종 이모텟 기반 봇넷을 릴리즈 하려는 노력은 보안 사업자가 파악하기 어렵지 않을 것이다.
 
인텔 471이 가진 정보를 바탕으로 법 집행기관의 작전은 1월 26일 실행됐고, 봇넷 인프라를 운영한 혐의가 있는 몇몇 우크라이나인을 체포하는 데 성공했다. 패스워터즈는 “이는 매우 고무적이다. 발표에 관여한 국가들은 조직적인 사이버 범죄 집단 및 활동에 실질적 영향을 주는 데 필요한 것을 완벽하게 정리했다. 우크라이나에서의 작전이 특히 인상적이다. 역사적으로, 부패와 여타 제한적 요소들이 우크라이나에서의 법 집행기관의 효과적인 작전에 방해가 됐지만, 조직적 사이버 범죄의 진원지라는 점을 고려하면 우크라이나에서의 결과는 대단히 적절하다. ‘붕괴’와 ‘습격’의 차이는 범죄자가 실제로 체포했으냐의 여부다. 이는 습격 작전의 정점이고, 장기적 영향을 가질 수 있는 유일한 방법이다”라고 말했다. 

누스파이어(Nuspire)의 보안 애널리스트인 조시 스미스는 “이모텟이 감염된 웹사이트 이외의 것을 이용해 악성코드를 호스팅하고, 감염된 머신에 명령을 발송할 수 있도록 직접적인 통제 하의 봇넷을 위해 실제 서버들을 유지한 사례는 아직 없다. 이모텟 운영자는 상당한 금전적 타격을 받았고, 이들의 인프라는 오프라인 상태다. 운영자들이 재구축을 시도할 것일지는 아직 알 수 없지만, 이는 분명히 가능하다. 이모텟 운영자가 다른 봇넷과 협력해 악성코드를 유포할 가능성도 있다”라고 경고했다.
 
이번 작전으로 인해 이모텟이 괴멸되더라도 다른 봇넷 운영자가 서둘러 공백을 메우고 TA542의 고객에게 서비스를 제공할 것이다. 이는 사이버 범죄 세계에서 거물급 범죄자가 몰락하면 으레 벌어지는 일이다.
 
쿠델스키 시큐리티(Kudelski Security)의 글로벌 보안 전략 책임자인 프란시스코 도노소는 “조심해야 한다. 위협 행위자는 끊임없이 영리해지고 향상되고 있다”라고 말했다. 그러면서 “이런 일이 일어날 때마다 이들은 체포 위험을 줄이기 위해 취할 수 있었던 기술적 또는 운영적 안전 조치를 학습할 것이다. 전투의 양측에서 상당한 리소스가 소비되고 있고, 범죄자는 이들 봇넷을 구축하는 것에서 계속해서 가치를 발견할 것이다. 결국 이는 수십억 달러짜리 산업이다”라고 덧붙였다. editor@itworld.co.kr 


X