Breaking
사이버 보안(Cybersecurity)
이모텟 봇넷, 이메일 수집 악성코드 재등장에 기업들 '진땀'
2019-05-28 17:29:57
김지연
▲이모텟 봇넷은 조직들을 공포에 떨게 하는 악성코드 중 하나다(사진=ⓒ123RF)

[라이헨바흐=김지연 기자] 이메일 도용 악성코드 이모텟 봇넷(Emotet botnet)이 다시 기승을 부려 기업들의 우려가 커지고 있다. 이에 따라 보안을 강화하고 악성코드를 없애기 위해 새로 업데이트하는 등 진땀을 흘리고 있는 상황이다.

보안 전문 기업 크립토스로직에 따르면 이모텟 조직은 감염된 피해자의 이메일 전체를 수집한다. 이모텟 악성코드는 2014년부터 나타났고 업데이트를 더해가며 발전했다. 하지만 은행을 침투하는 트로이 목마 바이러스로서 이모텟은 큰 수확 없이 서서히 죽어갔다.

그러나 2017년 여름, 이모텟 봇넷은 코드 수정 후 돌아왔다. 은행 트로이 목마 바이러스 외에도 모듈식 악성 프로그램이 추가됐다. 진화된 악성코드로서 사용자를 감염시키고 다른 해커 그룹을 위해 페이로드를 제공한다.

새롭게 업그레이드 된 버전은 능력과 보급 모든 면에서 번성하고 있다. 사실 악성코드는 많은 피해자를 감염시켜 미국 국토안보부(DHS)의 주의를 끌었다.

국토안보부는 이모텟의 위협 및 해당 네트워크에서 발생할 수 있는 문제에 대한 보안 권고를 발표했다.

▲새로운 봇넷 플러그인은 수십만 명의 피해자에게 영향을 미칠 수 있으며 이는 곧 수백만 명이 될 것이다(사진=ⓒ123RF)

새로운 이모텟 봇넷

이모텟 봇넷에서 실시한 조사에 따르면 이 악성코드는 매우 규모가 크다. 새로운 봇넷 플러그인은 수십만 명의 피해자에게 영향을 미칠 수 있으며 이는 곧 수백만 명이 될 수 있다. 버그가 방대해지고 커지는 주된 원인은 이것이 다수의 작은 모듈로 이루어졌기 때문이다.

일단 악성코드가 초기 기반을 다지면 이는 많은 수정 모듈을 다운로드해 공격을 개선한다. 예를 들어, SMB기반 스프레더는 조직을 파괴할 수 있다. 네트워크를 통해 좌우로 퍼져나가며 이모텟 봇넷의 작은 모듈 중 하나다.

이모텟 악성코드가 이전보다 더 치명적인 또 다른 이유는 절대로 혼자 오지 않는다는 것이다. 악성코드는 시스템을 감염시킬 뿐만 아니라 다른 강력한 위협, 원격 액세스 트로이 목마 바이러스 및 랜섬웨어도 수반한다.

이것이 다른 악성 소프트웨어를 위한 버그 전송자가 됨에 따라 악성코드가 예상보다 빠르게 확산되고 있다. 다른 악성코드, 위협 및 랜섬웨어를 확산시키는 것 외에도 이제는 6개월간 주고받은 이메일을 도용한다.

보안 전문가들은 이모텟 조직의 모든 업데이트가 악성코드를 더욱 강력하고 세련되게 만든다고 말한다. 이 최신 버전은 기업 스파이와 데이터 절도를 끌어들였다. 새로운 기능은 이전에 감염된 모든 시스템에 배포할 수 있다.

크립토스 로직의 보안 연구원은 "대인간의 메시지 루트 폴더에 있는 하위 폴더들의 모든 이메일 건드릴 것"이라고 밝혔다. 악성코드의 주요 대상은 180일 이내에 주고받은 메시지다.

또한 명령 및 제어 서버로 전송되기 전에 악성코드는 이메일 본문을 16KB만 훔친다고 연구원은 덧붙였다

보안 연구원 조셉 루즌은 이모텟 봇넷이 사라진 후에 다시 돌아올 때는 이전에 감염된 장치에서만 새로운 기능을 배포한다는 사실에 주목했다.

루젠은 "이모텟 봇넷이 인프라의 일부를 재작업하고 새로운 모듈을 만들고 새로운 감염 벡터를 만드는 것이라고 추측하고 있다"며 "그들은 5월 중순에 스팸을 중단한 이후 6월 초에 다시 강세를 보였다"고 말했다.

현재 얼마나 퍼져있나

현재 이모텟 봇넷은 적어도 170개국에 존재한다. 미국은 최소 4000개의 장치가 감염된 가장 큰 피해자다.

크립토스 로직의 최고경영자 살림 네이노는 "비-국가 해커가 이렇게까지 공격적 행동을 나타낸 것을 여태까지 본 적이 없다"며 "그들은 한 달 동안 조금 조용했다가 얼마 뒤 이 새로운 이메일 대량 탈취 모듈을 발표했다"고 서술했다.

이제 이모텟 봇넷은 고용서비스에 대한 공격, 즉, 다른 해커가 이 봇넷을 사용하여 대형 조직에 악의적인 내용을 전파할 수 있다는 것에 가깝다. 국토 안보부가 발행한 보안권고문에서 이 악성코드를 식별하고 무력화하는 방법을 자세히 설명했다.

조직과 수천 개의 장치를 감염시키는 것 외에도 이모텟 악성코드는 많은 비용을 초래한다. 가장 비용이 많이 드는 악성코드 위협은 사건 당 최대 1백만 달러의 비용이 든다. 이 악성코드는 국가 및 지방 정부도 감염시켰다.

네이노는 이모텟 집단이 공격적인 해커 그룹과 팀을 구성했을 가능성이 있다고 말한다.

시만텍은 "최근 밀리버그(Mealybug)는 다른 공격 그룹에 대한 위협의 배포자가 되기 위해 작전을 확장한 것으로 보인다"며 "최근 유럽에서 은행 고객을 대상으로 하는 것에서 다른 위협 행위자들을 위한 세계적인 포장 및 배달 서비스로 비즈니스 모델이 바뀌었다"고 말한다.

네이노에 따르면, 강력한 종단점 보안 및 위협 정보는 이모텟에 대해 가장 효과적인 방어 수단이다.

[라이헨바흐=김지연 기자]