Skip to content

2011 보도자료

트렌드마이크로, 제우스 봇넷 서버에 대대적인 공격을 감행

페이팔(PayPal), 이베이(eBay) 및 15개 은행의 고객들이 이번 봇넷의 공격 대상으로 확인됨

글로벌 보안 회사인 트렌드마이크로는 미국, 남미, 유럽의 15개 은행 고객뿐 아니라 이베이와 페이팔을 포함한 여러 온라인 결제 업체들을 공격 대상을 삼은 제우스 봇넷 명령 및 제어(C&C) 서버를 도메인 등록 업체인 CDMON 과 협력을 통해 제거하였다고 발표했습니다.

트렌드마이크로의 보고서에 따르면 공격 대상이 되었던 은행들 간에 일관성이 없고 감염된 컴퓨터의 위치를 감안해 볼 때 봇마스터는 기본 구성은 그대로 두고 자신이 속한 지리적 영역에 트로이 목마를 퍼뜨린다는 것을 알 수 있었다고 보고서는 언급하고 있습니다.

제우스는 봇넷을 구축하여 사람들의 PC에서 중요한 개인 금융 정보를 훔치는 데 사용되는 크라임웨어 도구 키트입니다. 현재 여러 가지 “제우스 봇넷”이 활동하고 있으며 그들을 만들어 낸 봇마스터에게 활동을 보고하고 있습니다.

500대 이상의 제우스 C&C 서버를 모니터링하는 제우스 트래커(Zeus Tracker)에 따르면 러시아에는 44대, 미국에는 35대, 루마니아에는 29대 그리고 우크라이나에는 28대의 제우스 C&C 서버가 운영되고 있다고 합니다. 제우스가 과거의 경쟁자인 스파이아이(SpyEye)와 통합된 것으로 보이긴 하지만 사람들은 여전히 독립 실행형 제우스 멀웨어 도구키트를 사용하고 있습니다.

이번에 트렌드마이크로가 제거한 봇넷은 아메리카 지역에서 만들어진 것으로 C&C 서버로 들어오는 요청들 중 95% 이상이 남미, 특히 멕시코에서 이루어지고 있다는 것을 파악하였습니다. 따라서 봇은 라틴 아메리카에서 만들어졌거나 스페인어로 제작되어 멕시코와 칠레의 은행을 공격 대상으로 삼았습니다. 이는 은행들이 아직도 고객 금융 계정 보호를 위해 단일 요소의 인증 방식을 사용하기 때문인 것으로 추정된다고 밝혔습니다.

트렌드마이크로의 보고서에 따르면 봇넷을 제거하기에 앞서서 3주간의 데이터를 수집하고 분석하였습니다. 봇 마스터가 제우스를 통한 공격을 위해 사이트를 등록할 때 이용하였던 도메인업체 CDMON과 협업을 통해 트렌드마이크로가 실제 C&C 서버처럼 가장할 수 있도록 CDMON은 서버의 본래 주소를 트렌드마이크로 주소로 바꾸어 봇 클라이언트는 사이버범죄자 대신 트렌드마이크로와 통신하게 되었습니다.

트렌드마이크로 TMS 2.5는 유일하게 국내 CC인증(EAL2)을 획득한 악성코드 대응 통합솔루션으로 주요 기능으로는 네트워크상의 악성코드에 대한 탐지, 악성코드 행위분석, 그리고 자동치료 기능을 제공합니다. 패턴과 룰 기반으로 알려진 바이러스를 탐지하는 전용백신엔진을 탐재하고 있으며 네트워크 행위 기반에 의해 탐지된 신종 악성코드들을 소스코드 분석과 네트워크행위기반 분석으로 네트워크 상의 악성코드를 탐지하며, 에이전트를 이용하여 감염된 좀비PC를 자동 치료합니다. 본 제품은 2009년 교육과학기술부에 이어 2011년 국가 행정 안전부 '좀비PC 탐지 및 제거 시스템 사업'에 선정되었습니다.

트렌드마이크로에 대하여
트렌드마이크로는 인터넷 컨텐츠 보안의 글로벌 리더로서 일본 도쿄에 본사를 두고 있는 다국적 기업으로서 전세계 46개국에 5,000명이 넘는 직원을 두고 있으며 기업과 개인 사용자를 위한 디지털 정보 교환을 보안하는 분야에 주력하고 있다. 트렌드마이크로는 악성코드, 스팸, 데이터 유출과 최신 웹 위협으로부터 지속적인 운영, 개인정보 및 재산을 보호하는 분야에 관리하는데 있어 선두적인 기업이다. 여러 솔루션 구현을 통해 다양한 서비스가 가능하며, 365일 24시간 전세계 위협 관리 전문가들이 지원하고 있다.


Connect with KR on