티스토리 뷰
마이크로소프트 DCU(Digital Crimes Unit)가 이번에도 또 한 건을 크게 했다. 악명높은 사이버 금융사기 콘트롤 센터를 적발하여 서비스를 중지시켰는데, 그 대상은 주로 사용자들의 금융정보를 가로채는 악성 봇넷(Botnet)인 Zeus다.
Zeus는 이메일 등을 통해 주로 전파되며, 악성 멀웨어가 사용자 컴퓨터에 몰래 설치되며 이를 통해 키로깅(Keylogging)을 시도하게 된다. 따라서 감염된 컴퓨터를 사용하는 모든 키보드 입력은 지시된 곳으로 보내지게 된다. 여기에는 금융 계정 정보와 이메일, 패스워드 등 민감한 정보 모두가 포함된다.
Microsoft는 DCU라는 조직을 두고 멀웨어, 바이러스 등의 원천을 차단하여 사이버 범죄 예방에 앞장서고 있는데, 이번에는 금융 사기와 관련된 봇넷을 적발하여 중단시킨 것이다. 작년엔 Rustock이라는 세계 최대의 스팸봇을 적발한 적이 있다.
2011/03/20 - 마이크로소프트가 세계 최대 스팸봇을 다운시키다
약 한달간의 조사와 수사기간을 통해 금융 사기 봇넷인 Zeus가 펜실바니아 Scranton과 일리노이주 Lombard에 위치해 있다는 것을 알게 되었다. DCU는 즉각 이런 사실을 법원에 알려 압수수색을 실시했고 봇넷 콘트롤 센터를 적발한 것이다.
DCU는 얼마전부터 다양한 Zeus 봇넷의 변종들을 수집 분석하면서 실체에 다가가게 되었다. Operation b71이라고 명명된 프로젝트를 통해 Zeus, SpyEye, Ice-IX 등 Zeus 봇넷 패밀리를 추적했다. 이들은 이미 약 5억 달러 가까운 손해를 입힌 사기 봇넷들이었다.
Zeus는 다른 멀웨어들과 달리 특별히 위험한 존재다. 멀웨어 시장에서 암거래되기 때문이며, 쉽게 변종을 만들어낼 수 있다는 점에서 보안측면에서는 위협적인 존재로 알려져 있다. 다른 멀웨어를 만들 수 있는 Zeus crimeware kit은 기능과 버전에 따라 700 달러에서 1,500 달러까지 거래된다고 한다.
Microsoft가 Zeus 봇넷 감염으로 의심되는 사례만 찾은 것이 전세계적으로 1,300만 건 정도되며, 미국에서만 3백만 건 이상이라고 한다. 현재 Microsoft는 Windows Vista와 Windows 7에 Windows Defender라는 멀웨어 검출과 삭제 서비스를 무료 제공하고 있다.
경찰 호위 하에 Microsoft와 파트너들은 3월 23일 전격적으로 Zeus 봇넷 컨트롤 센터로 추정되는 두 곳을 압수 수색했다. 봇넷을 초종하는 두 개의 IP를 확보했고, 바로 셧다운 시켰다.
이번 Zeus 봇넷 다운은 Microsoft의 MARS(Microsoft Active Response for Security) 프로젝트의 4번째 성공작이다. 그동안 Waledec, Rustock, Kelihos 등 굵직한 봇넷 3개를 다운시켰고 이번 Zeus가 4번째로 기록될 예정이다.
비단 미국만의 문제가 아니라 전세계적으로 온라인 금융사기는 심각한 수준이다. 네트워크 보급이 일상화되고, 금융거래의 온라인화 비율이 높아지면서 덩달아 온라인 금융범죄도 계속 늘어나고 있다.
온라인 뱅킹 시 다양하게 설치되는 보안 소프트웨어들이 완벽한 보안을 제공하지는 못한다. 어느정도 믿을 수 있는 보안환경을 제공하는 것은 사실이지만, 알려지지 않은 버그나 백도어 등을 통해 멀웨어가 상주할 가능성은 충분히 있다.
잘 모르는 프로그램의 설치나 공짜를 미끼로 한 프로그램 설치 등은 가급적 피하는 것이 좋다. 멀웨어나 스파이웨어들의 특징 중 하나는 자신들뿐만 아니라 다른 멀웨어 스파이웨어 설치를 방조한다는 큰 문제점이 있다. 이는 일차적으로 보안시스템을 무력화시켰기 때문에 나타나는 현상이다. 하나만 걸려도 계속해서 쉽게 다른 악성 소프트웨어가 계속 설치될 수 있다는 뜻이다.
백신 소프트웨어는 반드시 설치하고 Windows 운영체제를 사용한다면 지정된 업데이트는 꾸준히 설치해 주는 것이 좋다.