최신 리포트에 따르면 스팸은 전자메일 전체의 95% 이상을 차지하고 있다고 한다. 이러한 상황을 만들어내는 원흉은 봇넷에 있다. 본 기사에서는 가장 활발히 활동하고 있는 10대 봇넷을 소개한다.

스팸을 발송하는 봇넷의 순위를 매긴다는 것은 생각처럼 간단하지 않다. Terry Zink가 작성한 봇넷 관련 블로그에서는 아래와 같은 관점을 두고 있다.

• 봇넷을 구성하는 좀비PC 수
• 봇넷이 발신하는 총 바이트 수
• 봇넷이 발신하는 총 메시지 수

대략적으로 파악한다면 이러한 것은 별로 중요하지 않다고 생각할지도 모른다. 그러나 IT기술자는 상세한 것까지 신경을 쓰게 된다. 좀비PC 수나 발신되는 총 바이트 수는 지극히 직선적인 관점일 것이다. 발신되는 총 메시지 수도 마찬가지다.

그러나 그렇지 않다. 봇넷은 스팸 메시지를 작성할 뿐만 아니라 수많은 다양한 수신처로 메시지를 발송한다. 그러므로 메시지 수를 계산할 때는 다른 요소도 고려해야 한다. 이 봇넷 리스트는 스팸 발송 액티비티가 활발한 순으로 나열했다.

#1 : Grum (Tedroo)

Grum은 스팸을 발송하는 봇넷의 미래 모습을 나타내고 있다. Grum은 커널모드에서 동작하는 루트킷이기 때문에 진단이 어렵다. Autorun 레지스트리가 사용하는 파일에 감염되어 자동실행된다. 이 봇넷은 연구자들에게 매우 흥미로운 존재다. 사이즈는 비교적 작으며, 좀비PC 수는 60만 대밖에 없다. 그러나 하루에 스팸메일을 400억 통이나 발송하고 있으며, 이는 전 스팸메일의 약 25%에 해당한다.

Grum은 의약품 관련 스팸에 주력하고 있다. 어떤 종류의 스팸인지는 짐작할 수 있을 것이다. 스팸의 목적은 금전에 있다. 스팸을 발송하는 봇넷 대부분도 정도의 차이가 있을 뿐, 목적은 같을 것이다.

#2 : Bobax (Kraken/Oderoor/Hacktool.spammer)

Bobax는 봇넷 헌터를 혼란스럽게 만들고 있으며, Kraken이라는 봇넷과 관련이 있다. 최근에는 Bobax 개발자들이 커맨드와 제어에 관련된 트래픽을 HTTP로 행하게 변경했기 때문에, 차단이나 추적이 보다 어려워졌다.

현재 좀비PC 수는 10만 대밖에 없지만, 하루에 스팸메일을 270억 통이나 발송하고 있다. 이는 전 스팸메일의 약 15%에 해당한다. 즉, 좀비PC 1대 당 1분에 스팸메일을 1400통이나 발송하고 있는 셈이다. 한편 스팸의 내용이 다방면에 걸치는 것으로 보아, 봇넷이 렌탈되고 있는 것으로 보인다.

#3 : Pushdo (Cutwail/Pandex)

Pushdo는 Storm과 같은 시기인 2007년에 활동을 시작했다. Storm은 완전히 옛날 봇넷이 되었지만, Pushdo는 아직 왕성히 활동하고 있다. 좀비PC 약 150만 대는 하루에 스팸메일 약 190억 통을 발송하고 있다. Pushdo는 다운로더 유형의 봇넷으로, 피해자의 컴퓨터에 멀웨어를 다운로드하여 액세스를 얻는 구조로 되어있다. 액세스를 얻은 후 스팸 소프트웨어인 Cutwail을 다운로드한다.

Pushdo/Cutwail 봇넷은 의약품이나 온라인 카지노, 피싱 사기, 멀웨어가 삽입된 웹사이트 링크를 비롯해 다양한 내용의 스팸을 발송하고 있다.

#4 : Rustock (Costrat)

Rustock 또한 오랫동안 활동하고 있는 봇넷이다. 2008년, 웹호스팅 서비스 프로바이더인 McColo가 서비스를 중단하게 됐을때, Rustock은 멸종 직전에까지 이르렀다. 그러나 그후 다시 부활하여 지금은 좀비PC 약 200만 대를 지닌 가장 큰 봇넷이 되었다. Rustock은 McColo 서비스 중단 전에는 방대한 수의 스팸을 발송한 뒤 수개월 동안 활동을 중단한다는 특징이 있었다. 지금은 매일 미국 동부 표준시간(그리니치 표준시 -5시간) 오전 3시부터 오전 7시 사이에만 스팸을 발송한다는 특징이 있다.

또 Rustock은 화상파일을 이용해 전자메일 뉴스레터로 위장한다고도 알려졌다. 화상스팸은 필터링 소프트웨어로는 대부분 진단이 불가능하다. Rustock은 의약품 관련 스팸과 Twitter 베이스 스팸을 하루에 약 170억 통이나 발송하고 있다.

#5 : Bagle (Beagle/Mitglieder/Lodeight)

Bagle은 그 개발자가 부지런하다는 점에서 흥미로운 봇넷이라고 할 수 있다. Bagle은 2004년 이후 코드가 몇번이나 수정되었다. 이 개발자는 2년 전, Bagle을 이용해 전자메일 어드레스를 수집한 뒤, 그 데이터베이스를 판매하여 목돈을 벌고자 했다.

현재 Bagle의 좀비PC는 중계 프록시로서 동작하여, 스팸메일을 최종 수신처로 보내는 데 사용되고 있다. Bagle이 지닌 좀비PC 수는 약 50만 대에 머무르고 있지만, 이들은 매일 스팸 140억 통을 발송하는 데 가담하고 있다.

#6 : Mega-D (Ozdok)

Mega-D는 유명하다ㅡ아니, 보기에 따라서는 악명높다고 하는 편이 나을 것이다. 2009년 11월, FireEye 연구자들은 이 봇넷이 사용하는 커맨드와 제어용 도메인을 봇마스터보다 앞서 등록해둠으로써 해당 봇넷을 차단하는 데 성공했다. 그러나 Mega-D는 새로운 도메인을 계속해서 생성하도록 만들어졌기 때문에, 결국 봇마스터는 제어를 되찾게 되었다.

본 기사에서 소개하는 10대 봇넷 중 좀비PC 수는 Mega-D가 5만 대로 가장 적다. 이 수는 하루에 발송하는 스팸메일 수가 110억 통인 것을 보면 적다고 할 수 있을 것이다. 그러나 좀비PC 1대의 1분 당 스팸 발송 수를 살펴보면, Mega-D가 Bobax에 이어 2위를 차지한다. 한편 Mega-D가 발송하는 스팸메일의 내용은 온라인 약국이나 남성 기능 증강제 관련 광고를 담고 있다.

#7 : Maazben

Maazben은 매우 최근인 2009년 6월에 등장했다. 연구자들은 이 봇넷에 특별한 관심을 보이고 있다. Maazben은 프록시 베이스 좀비PC와 템플릿 베이스 좀비PC를 사용할 수 있는 최초의 봇넷이다. 스패머들은 스팸메일의 발신처를 은폐할 수 있다는 점에서 프록시 베이스의 좀비PC를 선호하는 경향이 있다. 그러나 프록시 베이스 좀비PC는 NAT 디바이스 뒤에 위치할 경우에는 기능하지 않는다.

Maazben에서 사용되는 테크닉은 유효하게 동작하고 있음에 틀림없다. 이 봇넷은 본 기사에서 소개하는 10대 봇넷 중에서도 가장 성장이 두드러진다. 좀비PC 수는 한달만에 5%나 증가했다. Maazben는 좀비PC 30만 대를 지니고 있으며, 카지노 관련 스팸메일을 하루에 25억 통이나 발송하고 있다.

#8 : Xarvester (Rlsloup/Pixoliz)

Xarvester는 McColo 서비스 중단 후에 등장한 봇넷이다. 연구자들은 Xarvester가 McColo 서비스 중단시에 고객 일부를 넘겨받았다고 보고있다. 또 연구자들은 Xarvester와 악명높은 봇넷 Srizbi 사이에서 수많은 유사점을 찾아냈다. Srizbi는 McColo 서비스 중단에 영향을 받은 봇넷 중 하나이다.

현재 Xarvester는 좀비PC 6만 대를 지니고 있으며, 하루에 스팸메일 약 25억 통을 발송하고 있다. 이러한 스팸메일에는 의약품이나 가짜 학위증명서, 가짜 브랜드 시계 판매, 혹은 러시아 관련 스팸 등이 있다.

#9 : Donbot (Buzus)

Donbot은 다른 봇넷에는 없는 특징이 있다. Donbot은 스팸메일에 삽입된 악성 링크를 은폐하기 위해 URL 단축을 사용한 최초의 봇넷이다. 피해자가 실수로 링크를 클릭할 가능성을 높이기 위해서다. 또 Donbot은 독립 가동하는 복수의 네트워크로 나뉘어져 있어, 각각이 다른 종류의 스팸을 발송하고 있는 것으로 보인다.

Donbot은 좀비PC 10만 대를 지니고 있으며, 하루에 스팸메일 8억 통을 발송하고 있다. 스팸의 내용은 다이어트 약 판매부터 주가 조작을 목적으로 하는 것, 채무 정리 상담 안내 등 다방면에 걸치고 있다.

#10 : Gheg (Tofsee/Mondera)

마지막으로 소개하는 봇넷에는 3가지 특징이 있다. 첫번째는 이 봇넷을 사용한 스팸메일의 85% 가까이가 한국에서 발송되고 있다는 점이다. 두번째는 Gheg가 커맨드와 제어에 관련된 서버 트래픽을 포트443상의 비표준SSL을 이용해 암호화하는 소수의 봇넷 중 하나라는 점이다.

세번째는 스팸메일 발송 방법을 선택할 수 있다는 점이다. Gheg는 프록시를 이용한 일반적인 스팸봇으로서 동작할 수도 있고, 피해자가 계약한 인터넷 프로바이더의 메일 서버로 스팸메일을 우회시킬 수도 있다. Gheg는 좀비PC 6만 대를 지니고 있으며, 주로 의약품 관련 스팸메일을 하루에 약 4억 통을 발송하고 있다.

봇넷의 상황

Symantec의 MessageLabs에서 수많은 봇넷을 감시하고 있는 Daren Lewis는 놀라운 통계치를 제시했다. 아래는 그 개요다.

• 스팸메일의 80%는 본 기사에서 다룬 10대 봇넷에서 발송되고 있다.
• 이들 10대 봇넷은 하루에 스팸메일을 1350억 통이나 발송하고 있다.
• 좀비PC 500만 대가 이러한 10대 봇넷의 지배 하에 있다.

스팸 대책 소프트웨어에서 진단되는 스팸메일의 수가 줄지 않는 것을 보면, 상황은 더욱 악화되고 있다고 할 수 있다

마지막으로

필자는 당분간 스팸메일을 필터링하는 소프트웨어나 서비스의 사용을 중단할 생각은 없다. 오히려 반대로 스팸메일 대책에 대해 계속해서 조사할 것이다. 그러나 가까운 장래에 어떠한 솔루션이 나올 것이라고는 기대하지 않는다.

필자는 방금 Symantec MessageLabs에서 발송한 전자메일을 받았다. MessageLabs Intelligence : February 2010 이라는 리포트를 릴리스했다는 메일이었다. 리포트에는 귀중한 정보가 가득 실려있기 때문에, 몇가지 중요한 점을 여기에서 소개한다.

리포트는 현재 Grum과 Rustock이 대량의 스팸을 발송하고 있으며, 스팸 전체의 32%가 이들에 의해 초래되었다고 지적했다. 아래의 그래프(출처 MessageLabs)는 가장 활발하게 활동하고 있는 10대 봇넷에서 발송된 스팸의 수를 나타내고 있다. 녹색(Rustock)과 보라색(Grum) 부분이 크다는 것은 한눈에 봐도 알 수 있을 것이다.



그리고 주목해야 할 점이 2가지 있다.
• 첨부파일을 사용하는 스팸메일 수는 1% 미만으로 하락했다.
• 스팸메일 자체의 사이즈도 상당히 작아졌다. 스패머들은 은폐된 링크를 사용한 화상 스팸을 활용하고 있다.

MessageLab에 따르면 이러한 변화로 인해 스팸메일의 파일 사이즈가 줄어든 결과, 봇넷이 1분에 발송하는 메시지 수는 증가하게 되었다고 한다.


출처 : http://www.botnet.co.kr/what_spam10.html

+ Recent posts