[Sophos] 보통의 IT 직원이 어떻게 봇넷 사이버범죄자를 잡는데 도움을 줄까요.

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=19900

베테랑 사이버범죄 조사관 Bob Burls는 수천만 달러를 벌어드린 봇마스터에게 유죄를 선고하도록 도움을 준 IT 직원의 성실함이 돋보인 케이스를 돌이켜 봅니다.

맬웨어 공격 배후에 있는 자를 찾기에 관계당국만으로는 충분하지 않습니다. 성공적인 유죄판결을 보장하기 위해서, 범죄가 발생했었다는 희생자의 보고가 또한 필요합니다.

다음 케이스에서 보여주듯이, 컴퓨터를 사용하는 일반인 중의 한 사람이 사이버범죄의 몰락을 가져오는데 도움을 주는 퍼즐게임의 필수 조각이 될 수 있었습니다.

2006년 11월에 특히 공격적인 맬웨어 하나가 스코틀랜드 야드(런던경찰국) 컴퓨터 범죄부의 공지사항에 나타났습니다. 그 문제의 맬웨어는 소포스에서 W32/Vanebot-R로 감지되는 웜과 같은 속성을 지니고 있는 IRCBot이었습니다.

면밀한 조사로 그 맬웨어는 다음과 같은 것을 퍼트리기 위한 다양한 전파 벡터를 사용하는 것으로 드러났습니다.

• 허술한 패스워드에 의해 “보호”되는 MS SQL 서버
• 네트워크 공유
• 원격 코드 실행을 허용할 수 있는 Microsoft Server Service의 치명적인 보안 취약점 (MS06-040)
• 인스턴트 메시지

런타임 분석으로 그 맬웨어가 mang.smokedro.com 도메인으로 IRC 서버에 연결되어 있다는 것이 드러났습니다.

smokedro.com의 도메인 등록자 정보는 다음과 같습니다.:

John Durst
2307 E 23rd St
Panama City
Florida 32405
United States

gunit@gmail.com

(Google 메일 계정은 사용자명을 최소 6자로 하도록 요구한다는 것을 명심하세요. 따라서 그 도메인과 관련된 이메일 주소가 단지 5자라는 사실이 바로 의심스러운 것입니다.)

하지만, 수사가 착수되기 전에 극복해야 할 문제점이 있었습니다.

그 맬웨어는 혐의를 통한 경찰의 통지로 드러난 것이 아니었기 때문에, 수사를 착수하기 위해서는 맬웨어가 실제 릴리즈 되고 배포 되었었는지 확인이 필요하였습니다.

결론적으로, 경찰은 소포스랩의 맬웨어 전문가와 연락하였고, 그 맬웨어에 의해 공격받은 고객이 있었는지 물어봤습니다.

소포스는 고객 사이트들로부터 그 맬웨어 샘플을 받았던 것을 확인했고, 그 회사들 중 한 곳의 IT 직원인 “크리스(Chris)”(가명)와 접촉을 시도하였습니다.

결국, “크리스”는 경찰과 연락했고 그 맬웨어가 어떻게 그 회사의 네트워크를 공격했었는지 설명하였습니다.

“크리스”는 영국과 여러 유럽국가뿐만 아니라 미국에도 있는 글로벌 제조사에서 일하고 있었습니다. 맬웨어는 그 회사의 유럽 네트워크를 통해 배포되어 네트워크 공유를 공격하였고 높은 네트워크 트래픽을 발생시켰습니다.

운 좋게도, 그 IT 전문가는 해당 사건의 로그 이외에도 맬웨어의 복사본을 가지고 있었습니다. 이 시점까지도 그 사건은 어떤 희생자에 의해서도 관계당국에 보고되지 않았습니다

맬웨어 공격을 받은 회사는 유럽 네트워크 상에 있는 수많은 컴퓨터들이 공격받았다고 주장하였습니다.

smokedro.com 서버 도메인이 미국에서 등록되었기 때문에, 영국 경찰은 미국에서 조사를 시작할 어떠한 힘도 가지고 있지 않았습니다.

따라서, 미국 비밀 수사국(United States Secret Service)은 공식적으로 통보를 받고, 미국과 영국 당국이 포함된 공동 수사가 착수되었습니다.

이 사건은 1990년 영국의 CMA(Computer Misuse Act)법률의 3장, 컴퓨터의 인가되지 않은 정정(unauthorised Modification of a Computer)에 따라 범죄로 처벌받았습니다

이 경우에 적용되는 미연방법은 미국 연방 법전 제18편, 1030장 (a) (5); Intentionally Causing Damage to a Protected Computer에 따라 위법이 되었습니다.

미국 비밀 수사국은 도메인 등록자가 플로리다 파나마시티의 로버트 매튜 벤틀리(Robert Matthew Bentley)라는 21살 청년이었다고 보고했던 도메인 등록 담당자에게 공식요청을 보냈는데, 그는 Gmail에 있는 그의 실제 이름에 따라 lsdigital@ 이름을 포함한 등록 이메일 주소와 요금 담당자 정보를 제공하였습니다.

연방 수색 영장을 포함한 추가적인 요청 서비스 후에, 비밀 수사국은 벤틀리가 LSDigital이었다고 확신할 수 있었습니다.

벤틀리와 네덜란드에 있는 애드웨어 회사인 달러 레비뉴(Dollar Revenue)와의 대화가 드러났는데, 그 회사는 취약한 컴퓨터에 소프트웨어를 설치하면 제휴비를 지불하였습니다.

벤틀리는 애드웨어 제휴 제도에 참여함으로써 컴퓨터를 감염시켜 확실한 이익을 얻고 있었습니다.

“Dollar Revenue는 설치당 높은 금액을 제안하고 모든 나라로부터의 인터넷 트래픽을 실수익으로 전환합니다. 여러분의 트래픽을 돈으로 바꾸는 이 보다 나은 방법은 없습니다.”

애드웨어 제휴 제도는 무엇인가요? 제휴 애드웨어 회사들은 그들의 애드웨어 프로그램이 하나의 컴퓨터에 설치될 때마다 소정의 금액을 지불합니다. 한 사람이 가맹인으로 가입을 하면 그들의 멤버쉽 번호와 관련이 있는 특정 애드웨어를 받게 됩니다. 애드웨어 프로그램은 종종 엔드유저를 유혹하는 공짜 프로그램을 다운로드하고 설치하기 위한 초대장을 포함하고 있습니다. 애드웨어 프로그램이 한 컴퓨터에 설치될 때마다 멤버쉽 번호가 애드웨어 회사에 전송되고 가맹인은 컴퓨터의 위치에 따라 US $0.30 ~ US $0.01의 금액을 받습니다. 이런 비교적 적은 양의 돈은 특정 제휴 애드웨어 프로그램이 더 많이 설치될수록 누적됩니다. 예를 들어, 만약 1000대의 강력한 컴퓨터 봇넷안에 있는 각 컴퓨터가 그 제휴 애드웨어를 설치하도록 되어 있다면, 그 봇마스터는 감염된 컴퓨터의 지리학적인 위치에 따라 1000대의 설치비를 받게 될 것입니다. 따라서, 예를 들어 감염된 모든 컴퓨터들이 캐나다에 있었다면, 그 봇마스터는 $200을 받게 될 것입니다. 이런 타입의 제휴 활동은 수익화 봇넷의 첫 번째 모델 중의 하나처럼 보여졌습니다. 2007년에 독일 통신 규제기관인 OPTA는 2천2백만 컴퓨터에 애드웨어를 설치한 것에 대해 Dollar Revenue에 백만 유로 벌금을 부과하였습니다.

피해를 입은 회사의 IT 직원 “크리스(Chris)”에 의한 양심적인 노력으로 이번에 범죄의 공식 혐의를 확인 하였는데, 계속해서 IRCBot의 복사본을 유지함으로써 증거물을 보존했을 뿐만 아니라 멜웨어에 의해 야기된 손상의 범위에 대한 증명을 도왔습니다.

그 직원이 맬웨어가 회사 네트워크를 통해 전파될 때 자신의 안티바이러스 소프트웨어의 로그를 저장하고 있었기 때문에 그것들을 분석하고 맬웨어의 분포를 밝히는 것이 가능하였습니다.

런던 경찰청 컴퓨터 범죄국과 미국 비밀 수사국의 공동 조사 결론은 다음과 같습니다.

• 로버트 벤틀리(Robert Bentley)가 mang.smokedro.com 도메인을 등록했고, 그 도메인이 IRC서버와 환경 설정되어 봇넷을 컨트롤하였습니다.
• mang.smokedro.com의 IRC 서버에 연결된 감염 컴퓨터들은 은밀히 Dollar Revenue로부터 생겨난 애드웨어를 설치하도록 되어 있고, 벤틀리의 멤버쉽 번호와 연계되어 있습니다.
• 벤틀리는 Dollar Revenue로부터 불법 자금을 받아 이익을 거둬들였습니다.

2008년 3월 6일에, 로버트 매튜 벤틀리는 미국 연방 법전 제18편, 1030장과는 반대로 컴퓨터 오용 음모에 대한 혐의를 인정하여 41개월 구금을 선고 받았고, 벌금으로 $65,000를 냈다고 말하였습니다.

이 이야기는 범죄자를 재판에 회부하기 위해 IT산업, 보안업체 벤더, 법 집행기관이 어떻게 협력하고, 정보를 공유하고 함께 일할 수 있는지에 대한 중요한 예제입니다.

비록 범인이 매우 먼 해외에 있을지도 모른다고 여러분이 의심할지라도 당국에 컴퓨터 범죄를 보고하는 것의 중요성을 과소평가하지 마십시오. 여러분의 보고가 큰 차이를 만들 수 있습니다.