보안

스팸봇의 해부 : 출발점부터 감염경로와 대응책까지

John Brandon | Computerworld 2017.10.23
보안 전문가들에게 스팸봇은 잘 알려진 ‘적’이다. 그러나 다른 사람들에게는 ‘미상의 실체’이다. 소풍을 갔을 때 본 개미 떼처럼, 메시징 앱의 10대처럼 자신도 모르는 사이에 침입해 확산된다. 봇으로부터 매일 무수히 많은 메시지를 받고 있을지 모른다. 심지어 봇이 사용자 모르게 사용자 컴퓨터에서 원하지 않은 이메일을 발송하면서 원하지 않게 ‘디지털 파괴’의 공범자가 될 수도 있다.

다른 ‘미상의 실체’처럼, 스팸봇의 작동 원리, 하는 일, 확산 방법, 스팸봇 감염 및 실행을 막는 방법을 알면 큰 도움이 된다.

Image Credit : GettyImagesBank

스팸메일의 시작
스팸봇 감염 경로와 작동 원리에 앞서, ‘출발점’에 대해 알아 보자. 악성코드 감지 서비스를 제공하는 플릭서(Plixer)의 IT 및 서비스 담당 디렉터 토마스 포어가 상세한 정보를 줬는데, 보통 러시아와 중국 등 해외를 중심으로 해커들이 다크웹에서 이메일 주소 데이터베이스를 구매하면서 시작된다.

생각보다 훨씬 쉽다. 또한 갈수록 더 쉬워지고 있다. 야후는 최근 2013년에 (이메일 주소와 비밀번호, 생년월일 등 정보가 포함된)사용자 30억 명의 계정이 침해 당했다고 발표했다. 그런데 스팸봇을 만드는 사람들은 이 소식에 놀라지 않았을 것이다. 이미 몇 년 간 자신의 봇에 이런 데이터를 사용하고 있을 확률이 아주 높기 때문이다. 스팸봇에는 이메일 주소가 필요하다. 이메일 주소 없는 스팸봇은 실행되지 않는다. 따라서 어떤 스팸봇이든 이메일을 수집하는 활동을 한다.

원래 스팸봇은 이메일 주소를 추출, 무작위로 컴퓨터를 감염시키는 시도를 했었다. 그러나 가트너의 애널리스트 로렌스 핀그리는 더는 이런 방식을 사용하지 않는다고 강조한다. 판매되고 있는 이메일 주소가 정말 많다. 스팸봇 개발자는 소셜 엔지니어링으로 악순환의 고리를 준비한다. 소셜 엔지니어링 공격을 성공시켜 데이터를 침해한다. 데이터 침해에 성공하면 더 많은 이메일 주소를 획득할 수 있다. 이는 데이터 침해 사고가 급증하는 이유를 설명한다. 더 많은 사람을 속이기 위해, 더 많은 정보를 수집하는 것이다.

감염 경로
스팸봇에 대응하기 힘든 이유 중 하나는 스팸봇을 만든 악당들이 항상 전술을 바꾸기 때문이다. 사용자 모르게 컴퓨터에 이메일을 생성하는 스팸봇을 설치해 최초 감염을 유도한다. 과거 스패머들은 사용자를 속여, 평판 나쁜 사이트에서 악성코드를 다운로드하도록 유도하거나 피싱 메시지로 악성 링크를 클릭하도록 유도했다.

이에 보안 관련 업체와 기관들은 사용자에게 모르는 사람으로부터 받은 이메일의 링크와 첨부 파일을 경계해야 한다는 점을 주지시켰다. 그러자 스패머들은 더 정교한 전술을 사용하기 시작했다. 핀그리에 따르면, 최근에는 사용자 페이스북 피드의 사진을 하이재킹, 해당 사용자에게 친구가 사진에 댓글을 달았다는 가짜 페이스북 알림 메시지를 보내는 방법을 사용한다. 여기에 응답할 경우, 해당 사용자의 컴퓨터가 자신도 모르는 사이에 스팸봇 호스트가 된다.

아직은 ‘개념 증명’ 단계인 또 다른 속임수도 있다. 아이폰에서 아이튠스 로그인과 비밀번호 대화 상자를 제시하는 방법이다. 여기에 로그인을 하면 계정 정보를 탈취한다. 더 나아가 아이폰에 악성코드가 설치될 수도 있다.

핀그리는 “스패머는 ‘거짓말을 이용한 속임수’라 할 수 있는 소셜 엔지니어링을 통해 사용자가 이메일을 신뢰, 첨부파일을 열거나 클릭을 하도록 유도한다.”고 말했다.

사용자가 클릭을 하도록 속이지 못한 경우에도 방법이 있다. 스팸 메시지를 자세히 조사하면 겨우 알아볼 수 있는 정도의 이미지 태그가 있다. 파사이트 시큐리티(Farsight Security)의 수석 기술 컨설턴트 조 세인트 소버에 따르면, 사용자가 이메일을 열면, 태그가 봇마스터에게 클릭 사실을 알린다. 이를 통해 사용자가 ‘진짜 사람’이라는 사실을 파악한다.

새 호스트 컴퓨터에 성공적으로 설치된 스팸봇은 더 많은 이메일을 발송하기 시작한다. 대부분은 피싱 공격이다. 또 악성코드 클라이언트를 통해 스팸봇 코드가 확산되는 경우도 있다.

기술적인 부분
플릭서의 포어에 따르면, 컴퓨터가 감염되면 스팸봇이 몇몇 봇의 마스터 서버인 C&C(Command & Control) 센터와 통신을 시작한다. 마스터 서버는 실제 이메일 서버와 놀랍도록 유사하게 작동한다. 해커는 스팸봇으로부터 성공률과 실패율에 대한 보고서를 받는다. 때론 C&C 센터가 봇에 정보를 보낼 장소를 추가 지시하기도 한다. 이런 연락처 정보를 계속 바꾸는 것이 중요하다. 봇 마스터가 법 집행 기관이나 보안 전문가의 감지를 피할 수 있기 때문이다.

이런 식으로 스팸봇이 계속 작동하도록 만든다.

세인트 소버는 “통상 봇은 트래픽을 가져와 내보내는 프록시 기능을 한다. 실제 위치를 숨기고, 일부 사이트에서 사용하는 트래픽 필터를 회피하기 위해서이다. 또는 메시지 탬플릿, 가짜 ‘발송인’과 제목, 표적 이메일 주소 목록 등 원본 입력값으로 그때 그때 스팸 메시지를 작성해 발송하는 스팸 ‘공장’으로 사용할 수도 있다”고 설명했다.

스팸봇이 스팸 전송이 차단당한 것을 파악하는 경우도 있다. 세인트 소버에 따르면, 스팸 전송이 차단 당해도 스팸봇이 무용지물이 되는 것은 아니다. 1차 작전을 완수할 수 없게 된 스팸봇도 다른 작업을 수행할 수 있다. 웹사이트 트래픽 스푸핑, DDoS 공격 참여 등을 예로 들 수 있다.

스팸봇 대응 방법
불행히 스팸봇에는 장기간 적용되는 행동 패턴이 없다. 계속 공격 방법이 바뀐다. 따라서 컴퓨터 감염을 방지하기 아주 어렵다. 기업의 악성코드 감지 소프트웨어를 업데이트 할 수 있지만, 스패머는 새로운 방법을 찾는다.

악성코드는 안티 맬웨어 기법을 피하려 시도한다. 가트너의 핀그리는 이런 이유로 대기업들이 악성코드 샌드박싱과 엔드포인트 감지 및 대응 솔루션을 도입한다고 설명했다. 또한 URL과 도메인, IP 주소 차단 방어책과 위협 정보 공유 방법을 결합해 사용하고 있다.

계속해 치열해지는 ‘전투’가 상황을 긴박하게 만들 수 있다. 보안 전문가들은 끈질기게 피싱 스캠을 만드는 스팸봇 개발자들과 싸운다. 그러나 좋은 소식이 있다. 전문가들에 따르면, 스팸봇 코드의 완성도가 하락하고 있는 추세이다. 또한 쉽게 포기한다. 아주 자주 대응을 하고, 감지 소프트웨어와 엔드포인트 보안을 업데이트하면 스팸봇이 스스로 나가 떨어져 사라질 것이다.  editor@itwold.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.