이미지 확대보기
미 연방수사국(FBI)이 10년 넘게 인터넷상에서 악명을 떨친 악성코드를 국제 공조를 통해 잡아냈다.
29일(현지시간) FBI와 미 법무부는 ‘칵봇(Qakbot)’으로 알려진 악성 코드와 이에 연결된 봇넷(botnet)을 방해하고 해체하기 위한 다국적 작전을 전개했다고 밝혔다.
오리 사냥(Duck Hunt)이란 코드명으로 실행된 이번 작전은 사이버 범죄자들이 랜섬웨어 배포, 피싱 등 금융 사기를 저지르기 위해 주로 사용하는 악성코드와 이들의 활동 기반이 되는 봇넷 인프라를 중단시키기 위해 기획됐다.
특히 이번 작전은 미국과 프랑스, 독일, 네덜란드, 루마니아, 라트비아, 영국 등의 사법기관과 공조해 역대 최대 규모로 진행됐다.
칵봇은 정상적인 원본 이메일을 중간에서 가로채고, 악성 파일을 첨부한 뒤 다시 메일을 보내는 수법으로 작동하는 악성코드다. 정상 메일로 오인한 수신자가 첨부파일을 열도록 유도함으로써 다른 악성코드나 랜섬웨어 등에 감염되도록 한다.
또한, 칵봇은 감염된 컴퓨터를 봇넷 네트워크의 일부로 만들고, 해커들이 이를 원격으로 제어해 다른 범죄에 활용할 수 있도록 만든다. 대다수 피해자는 자신의 컴퓨터가 칵봇에 감염된 사실조차 알 수 없었다.
FBI는 칵봇이 2008년 첫 등장 이후 전 세계 수십만 대의 컴퓨터를 감염시켰으며, 랜섬웨어 공격과 기타 사이버 범죄에 사용되어 미국과 해외의 개인 및 기업에 수억 달러에 달하는 누적 손실을 입혔다고 설명했다.
보안업계에 따르면 칵봇은 레빌(REvil), 콘티(Conti), 메가코텍스(MegaCortex) 등 악명 높은 랜섬웨어 그룹의 공격 통로로 자주 사용된 것으로 나타났다.
FBI는 합법적인 권한으로 칵봇의 봇넷 네트워크에 접근해 미국에서만 20만 대 이상, 전 세계적으로 70만 대 이상의 감염된 컴퓨터를 식별했다.
이후 FBI는 칵봇의 트래픽을 자신들이 통제하는 서버로 우회시키고, 감염된 컴퓨터가 스스로 칵봇을 제거하고 재감염을 방지하는 치료 프로그램을 다운받아 실행하도록 했다. 칵봇의 자동 감염 기능을 역이용한 것.
크리스토퍼 레이 FBI 국장은 공식 발표를 통해 “식별된 피해자는 동부 해안의 금융기관부터 중서부의 주요 인프라 정부 계약자, 서부 해안의 의료 기기 제조업체에 이르기까지 다양했다”라며 “우리가 직면한 사이버 위협은 나날이 위험하고 복잡해지고 있다. 그러나 이번 작전의 성공은 우리 자신의 네트워크와 능력이 더욱 강력하다는 것을 증명한다”라고 작전 소감을 밝혔다.
한편, FBI는 이번 작전에서 해커들이 탈취한 860만 달러(약 113억9500만 원) 규모의 암호화폐를 회수했다. 회수된 암호화폐는 모두 피해자에게 반환될 예정이다.
최용석 글로벌이코노믹 기자 rpch@g-enews.com
