지난주 16일 Microsoft와 미국 연방보안관(연방법원 경호국, U.S. Marshals Service)은 스팸메일을 발송하는 봇넷(botnet)의 컨트롤 서버가 위치해 있는 미국 주요 도시의 IDC 센터를 급습하여 하드디스크를 압수했다.

압수된 봇넷 컨트롤 서버의 하드디스크들(출처 : Microsoft)


Microsoft가 스팸메일 봇넷을 직접 상대한 이유는 지난달초 제기한 소송으로부터 출발했다. 본사가 있는 시애틀 연방법원에 Microsoft에 피해를 주고 있는 스팸메일 발송 Rustock 봇넷을 상대로 소송을 걸었다.

Rustock 봇넷은 Microsoft의 트레이드마크를 이용하여 마치 Microsoft가 복권을 발행하는 듯한 메일을 보냈고, 이에 대해 Microsoft는 소송을 제기한 것이다. 자사에 대한 불신을 조장하고, 제품의 신뢰도를 떨어뜨린다는 이유였다.

Microsoft는 디지털 범죄 단속팀(Digital Crimes Unit : DCU)을 운영하고 있는데, MS DCU가 중심이 되어 연방법원과 협조하에 봇넷에 대한 단속을 실시했다.

연방법원의 영장을 발부받아 시애틀과 시카고, 달라스, 캔자스시티 등 7개 도시에 위치한 IDC를 급습하여 Rustock 봇넷을 조종하는 주요 서버들에 대한 압수를 실시했다. Symantec에 따르면 압수 후에 Rustock 봇넷은 활동을 중지했다고 한다.

압수된 대부분의 서버들은 IDC에서 장비를 임대한 것들로 운영자가 분명하지 않은 것들이라고 한다. 심지어 동구권의 아제르바이젠에서 접속한 기록이 있는 서버도 있다고 한다. 이들 조종 서버에 의해 봇넷 감염된 PC는 전세계적으로 약 1백만 대에 이르는 것으로 알려져 있다.

Rustock 봇넷은 우리가 흔하게 받아보는 영문 스팸인 비아그라나 각종 약광고 스팸을 뿌리는 악명높은 스팸봇이었다. Microsoft는 이런 이유로 Pfizer(화이저)와도 협조를 했고, 학계와 산업계 보안 전문가 등과도 공조를 했다.

봇넷 활동은 지역적인 제한이 없는 경우가 일반적이어서 미국 외 다른 국가와도 협조체제를 구축한 뒤에 단속에 들어갔는데, 네덜란드 하이테크 범죄팀과 중국 CERT와도 공조를 통해 Rustock 봇넷 단속을 실시했다.

스패머가 봇넷 클라이언트를 조종하는 컨트롤 서버를 다른 곳으로 옮기기 전에 일시에 급습해서 막아야만 봇넷의 근원을 차단할 수 있기 때문에 다양한 기관과의 공조는 아주 중요하다.

DCU에 따르면 Rustock 봇넷은 하루에 약 300억 통의 이메일을 전송할 수 있는 능력을 가지고 있다고 한다. Rustock에 감염된 PC 한 대가 45분만에 무려 7,500건의 스팸을 발송할 수 있는 것으로 조사되었는데, 하루면 24만 통을 보낼 수 있는 수준이다.

봇넷은 단순히 스팸만을 발송하는 수준을 넘는다. 봇넷의 조종자는 마음만 먹으면 봇넷을 이용하여 DDoS 공격을 할 수도 있고, 패스워드를 훔쳐낼 수도 있기 때문에 봇넷은 각종 사이버 범죄에 중요한 원인을 제공하고 있다.

단순한 호기심으로 이들이 보낸 스팸메일을 열어보거나 링크나 이미지를 클릭하게 되면 자신도 모르게 봇넷 클라이언트를 설치되는 경우도 있다. 광고를 통한 영리목적 외에도 아예 봇넷 클라이언트를 모으기 위한 방법으로도 사용되므로 주의가 당부된다.

우리나라에도 많은 봇넷 감염 PC가 있을 것으로 예상된다. 스팸 발송 국가 상위권에 우리나라가 포함되어 있는 것 역시 스팸봇에 의한 것이다. 많은 사용자들이 방심하는 사이에 스팸봇들은 조용하게 사용자의 PC를 점령하고 있다.

사용 중에 이상하게 컴퓨터 작동이 느려지거나, 항상 켜놓고 있는 컴퓨터의 경우 사용자가 이용하지 않는 시간대에 열심히 하드디스크 읽는다거나, 내부에서 외부로 나가는 트래픽이 비정상적으로 높을 경우에 의심해볼 필요가 있다.

스팸봇의 경우 사용자 PC에 설치된 주소록으로 스팸메일을 보내거나 임의의 주소로의 DDoS 공격에 사용되는 경우도 많다. 사실 봇넷감염 PC나 좀비 PC는 같은 의미로 해석해도 된다. 감염된 PC들은 스팸을 보내거나 DDoS 공격을 하고, 사용자의 중요 정보를 가로채는 기능을 수행할 수 있다.

지금이라도 자신의 PC에 바이러스나 봇넷, 스파이웨어가 설치되어 있는지 검사해보는 것이 좋겠다. 상대적으로 보안에 둔감한 어린 자녀나 부모님의 컴퓨터는 주기적으로 점검해 주는 것이 좋다.

Microsoft의 대형 봇넷 네트워크 다운은 이번이 두 번째다. 2010년 2월에도 대형 봇넷으로 알려진 Waledac(웨일댁) 봇넷을 이번처럼 다운시킨 바 있다.

Symantec에 의하면 이번에 다운된 Rustock은 작년말 기준으로 전체 스팸메일의 47.5%를 차지했던 강력한 봇넷이라고 한다. 다운된 16일과 17일 사이 전세계 스팸메일 감소량은 12% 정도였다고 한다. 그만큼 Rustock 봇넷의 위력이 대단했다는 것이다.

대형 스팸봇의 다운으로 스팸메일이 조금은 줄어들겠지만, 여전히 다른 스팸봇들이 빈자리를 차지하고 있다고 한다. 봇넷을 줄이는 가장 좋은 방법은 PC 사용자들에게 달려있다. 자주 자신과 주변에 있는 PC의 악성 소프웨어 검사를 실시하는 것이 최선의 방법이다.
Posted by 까칠한 킬크

댓글을 달아 주세요

  1. Favicon of http://blog.raystyle.net BlogIcon Ray 2011.03.20 20:24  댓글주소  수정/삭제  댓글쓰기

    대단한 MS ㅎㄷㄷㄷㄷ

  2. Favicon of http://poem23.com BlogIcon 학주니 2011.03.21 13:16  댓글주소  수정/삭제  댓글쓰기

    무서운 봇, 대단한 MS..

  3. Favicon of http://zeteticthink.tistory.com BlogIcon Reznor 2011.04.01 00:27  댓글주소  수정/삭제  댓글쓰기

    와우 몰랐던 정보 잘보았습니다.^^~

    근데, 갑자기 든 생각은, 전세계 스팸메일의 규모나 그 감소량을 어떻게 아는거죠? 스팸메일의 내용이 바뀔 수도 있지 않나요? 그런걸 어떻게 다 구별해서 통계를 내는지 궁금하네요ㅋ