시만텍(www.symantec.co.kr)이 유럽연합의 범죄대책기구 유로폴 및 민간기업들과 공조해 지난 5년간 총 320만대 이상의 컴퓨터를 감염시킨 악성코드 램니트(W32.Ramnit.B) 배후의 사이버 범죄 조직을 검거했다. 시만텍과 정부 당국은 이번 작전을 통해 사이버 범죄 조직의 서버와 기타 인프라를 압수했으며, 이번 검거는 민관 협력을 통해 국제적인 사이버 범죄 조직을 검거한 사례라는 점에서 의미가 있다.
램니트는 2010년 처음 발견되었으며, 2011년 5월 유출된 제우스 트로이목마(Trojan.Zbot)의 소스코드를 이용해 공격 역량을 한층 강화했다. 지난 5년 간 램니트에 감염된 컴퓨터는 누적해서 총 320만대이며, 지금도 감염 상태에 있는 컴퓨터가 무려 35만대에 이르는 것으로 나타났다. 램니트는 공격적인 자가전파 기술을 통해 급속히 확산되면서 금융 정보, 비밀번호, 쿠키, 개인 파일을 수집하는 거대 사이버 범죄 조직으로 성장할 수 있었다.
램니트는 컴퓨터를 감염시킨 후 다양한 공격 기법을 활용하는데, 로컬 하드디스크와 이동식 드라이브에서 EXE, DLL, HTM, HTML 파일을 자신의 복사본으로 감염시키는 것이 특징이다. 공격자는 램니트를 활용해 피해자의 웹 브라우징 세션을 감시하고, 금융 정보를 가로챌 뿐 아니라 웹사이트 쿠키를 탈취해 피해자를 사칭하며 하드 디스크에서 파일을 빼낼 수 있다. 또한, 피해자 컴퓨터에 원격으로 접속해 정보를 몰래 빼내거나 멀웨어를 추가로 다운로드 할 수 있다.
현재 램니트는 다음과 같은 6가지 표준 모듈을 통해 피해자의 컴퓨터를 공격하는 것으로 파악되었다.
• 스파이 모듈(Spy module): 램니트의 가장 강력한 기능 중 하나로 피해자의 웹 브라우징을 감시해 온라인 뱅킹 사이트 등 특정 웹페이지 접속을 탐지한다. 또한, 피해자의 브라우저를 조작해 신용카드 세부 사항과 같은 추가 정보를 요구하도록 은행 웹사이트를 사칭하며 정보를 유출한 뒤 사기 수법으로 활용한다.
• 쿠키 그래버(Cookie grabber): 피해자의 웹 브라우저에서 세션 쿠키를 빼내 공격자에게 전송한다. 공격자는 이 쿠키를 이용해 웹사이트에서 본인 인증을 하고 피해자를 사칭할 수 있어 온라인 뱅킹 세션을 가로챌 수 있다.
• 드라이브 스캐너(Drive scanner): 컴퓨터의 하드 드라이브를 스캔하여 파일을 빼낸다. 특히, 비밀번호와 같은 민감한 정보를 포함한 특정 폴더를 찾을 수 있도록 설정한다.
• 익명의 FTP 서버: 익명의 FTP 서버에 연결함으로써 공격자가 감염 컴퓨터에 원격으로 접속하고, 파일 시스템을 살펴볼 수 있게 한다. 파일의 업로드, 다운로드 또는 삭제가 가능하며, 명령어를 실행할 수 있다.
• VNC 모듈: 피해자의 컴퓨터에 원격으로 접속할 수 있는 다른 방법을 제공한다.
• FTP 그래버: 공격자가 다수의 FTP 클라이언트에 대한 로그인 정보를 수집할 수 있다.
램니트에는 감염된 컴퓨터에서 쉽게 램니트를 제거하지 못하도록 다양한 기능을 포함하고 있다. 침투와 동시에 스스로를 복사해 감염된 컴퓨터의 메모리 및 하드디스크에 설치하고, 메모리에 설치된 복사본은 하드디스크를 감시해 만약 하드디스크에 설치된 복사본이 삭제되거나 격리되면 다른 복사본을 하드디스크에 설치해 감염상태를 유지시킨다.
램니트 컨트롤러는 공격을 위해 봇넷(botnet)을 구축하는데 그치지 않고 이를 활용하며 진화해온 것으로 보인다. 램니트 초기 버전은 파일 감염 루틴을 통해 확산됐으며, 최근에는 고도의 다양한 기술과 전략을 통해 컴퓨터를 감염시킨다. 예를 들어, 감염 웹사이트와 소셜 미디어 페이지에서 공격 키트를 호스팅 하거나 FTP 서버를 통해 램니트를 배포하는 경우도 있다. 또한 신뢰도가 낮은 소스에서 제공하는 소프트웨어 번들을 설치하는 과정에서 원치 않는 애플리케이션을 통해 자신도 모르게 램니트가 설치될 수도 있다.
램니트는 전세계 대부분의 국가에서 감염 사실이 확인되고 있다. 가장 심한 피해를 입은 국가는 인도, 인도네시아, 베트남, 방글라데시, 미국, 필리핀으로 나타났다.
그림 1. 국가 별 램니트 감염 현황
2014년 11월 기준으로 시만텍은 일 평균 약 6,700건의 새로운 램니트 봇넷 감염을 차단했다. 이는 2014년 5월 일 평균 8,000건에 비해 감소한 수치지만 램니트 봇넷은 여전히 활발히 활동하고 있다.
그림 2. 월별 램니트 감염 현황
한편, 보안 담당자를 위한 상세한 기술 정보는 시만텍의 ‘W32.램니트 분석’ 기술 문서에서 확인할 수 있다. 시만텍 및 노턴 제품은 램니트 관련 탐지 기능을 지원하고 있으며, 시만텍은 자사 홈페이지를 통해 램니트 감염 여부를 확인하고, 감염 컴퓨터에서 램니트를 제거하는 툴을 제공하고 있다.