12월 7일(현지 시각), 구글 위협 분석 그룹(Google TAG)이 사이버 보안 위협 세력의 수법 진화 동향을 자세히 관찰한 뒤 윈도 시스템과 사물인터넷(IoT) 기기를 공격 대상으로 삼는 치명적인 공격을 개시하는 봇넷 글룹테바(Glupteba)를 경고했다. 구글 연구팀은 글룹테바가 비트코인 블록체인에 삽입된 데이터를 이용하는 제어 메커니즘과 백엔드 공격을 동원해 시스템 통제 능력을 재차 확보한다고 설명했다.
그런데, 뛰어난 보안성과 투명성을 자랑하는 비트코인 블록체인이 어떻게 봇넷 생성 및 확산 수단으로 동원되었을까? 미국 온라인 테크 매체 기즈모도가 해커 세력이 비트코인 블록체인을 봇넷 생성 및 유포에 이용한 과정을 분석했다.
글룹테바, 비트코인 블록체인 이렇게 악용한다!
누구나 알다시피 일반적으로 봇넷은 멀웨어에 감염돼, 악성 네트워크와 연결된 이른바 '좀비' 기기 무리이며, 대규모 범죄 행위에 동원된다. 보안 침해 피해가 발생한 기기 모두 봇넷의 일부가 되며, 의도하지 않은 사이버 범죄에 동원된다.
최근 발견된 글룹테바는 암호화폐 채굴 네트워크를 탈취하는 '크립토재킹(cryptojacking)'의 일종으로 범죄 수단으로 탈취된 CPU 전력을 이용한다. 다수 봇넷이 감염 네트워크에 피해를 준 정확한 규모 파악이 어려운 것처럼 글룹테바도 피해 규모를 파악하기 어렵다고 밝혔다. 이어, 글룹테바에 감염된 네트워크 중 비트코인 블록체인 기반 혁신 복원 메커니즘을 통해 언제든지 복귀할 수 있다고 경고했다.
보통 사이버 범죄 세력은 백업 메커니즘을 생성해 봇 집단과의 연결 문제를 해결한다. 주요 C2 서버와 관련 도메인이 차단되면, 보안 감염이 된 기기 내 다른 멀웨어가 다른 백업 C2 도메인을 검색하도록 설계되었다. 이 과정을 거치면 차단 이후에도 감염된 네트워크 전체가 얼마든지 부활할 수 있다.
사이버 범죄 세력은 주로 백업 웹 도메인을 멀웨어 자체에 데이터가 변경되지 않도록 하드코딩한다. 이후 봇 마스터가 일련의 백업 작업을 등록한다. 그러나 봇넷이 일정 시점이 되었을 때, 신규 주소 없이 실행되는 문제가 발생한다. 멀웨어에 삽입할 수 있는 백업 웹 도메인 수가 한정되었기 때문이다.
그러나 글룹테바는 백업 웹 도메인을 멀웨어가 아닌 비트코인 지갑 주소 안에 삽입하면서 한계를 완화했다. 백업 웹 도메인이 삽입된 비트코인 지갑 주소는 'OP 리턴(OP_Return)'이라는 기능을 통해 봇 집단과 C2 인프라와 간 실패 확률이 없는 인터페이스를 지원한다.
OP 리턴은 거래 과정에서 임의 텍스트 입력을 허용하는 비트코인 지갑 기능이다. 글룹테바는 이를 멀웨어 통신 경로로 악용했다. 감염된 기기의 멀웨어는 글룹테바의 C2 서버 중 하나라도 오프라인 상태가 될 때, 공공 비트코인 블록체인을 스캔하면서 글룹테바 지갑과 관련된 거래를 찾도록 설계됐다. 스캔 후 해커 세력은 신규 도메인 주소를 입력하면서 경로를 재지정하고 같은 공격을 반복한다.
구글의 글룹테바 발견 일등 공신인 블록체인 분석 기업 체이널리시스(Chainalysis)의 조사·특별 프로그램 수석 관리자인 에린 플랜트(Erin Plante)는 기즈모도와의 인터뷰에서 해커 세력이 비트코인 블록체인을 이용해 봇넷을 유포한 사례는 이례적이라고 언급하며, 법률 집행 기관의 조사가 어려울 것이라고 말했다.
법률 집행 기관의 대응과 같은 이유로 글룹테바와 C2 도메인 통신이 중단될 때, 글룹테바가 해커 세력이 전송한 암호화폐 지갑을 통해 신규 도메인 주소를 자동 재구성하기 때문이다.
플렌트는 "블록체인의 탈중앙화라는 특성 때문에 블록체인 네트워크 내 메시지를 차단하거나 글룹테바와 관련된 비트코인 지갑 주소의 기능을 영구적으로 비활성화할 방법이 없다"라고 언급했다.
글룹테바 공격, 멈출 수 있을까?
그렇다면, 글룹테바 공격을 멈출 방법은 없을까? 안타깝게도 구글 TAG팀 총괄인 셰인 헌틀리(Shane Huntley)는 현재 글룹테바를 막을 방법이 완벽하지 않다고 밝혔다. 그는 "백업 메커니즘은 회복성이 매우 뛰어나다. 해커 세력이 지갑 키를 보유한 상태라면, 언제든지 글룹테바를 신규 서버와 직접 연결할 수 있다"라고 말했다.
플렌트는 글룹테바 퇴치 가능성을 비관하며, "향후 랜섬웨어 조직이나 사이버 공격 세력이 범죄 활동에 모방한다면, 매우 치명적인 피해가 발생할 위험성이 크다. 현재 C2 도메인 단 하나를 차단하는 방법 이외에는 글룹테바를 차단할 완벽한 방법이 없다"라고 설명했다.
사실상 글룹테바는 해커가 계속 업데이트할 수 있다면, 무한한 공격을 개시할 수 있다. 다만, 헌틀리는 구글 내부에서 계속 해커 세력의 거래를 추적하면서 글룹테바 퇴치 방법을 찾고 있다고 전했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
