페북, 봇넷 제작자 반년 추격…결말은?

페이스북이 '렉페텍스(Lecpetex)'라 불리는 봇넷을 무력화한 과정을 자랑스럽게 공개했다. 자사 서비스가 보안에 높은 관심을 갖고 사용자들을 보호하기 위해 많은 노력을 기울이고 있다는 점을 보여주기 위한 제스처로 풀이된다.

미국 지디넷은 8일(현지시각) 페이스북이 쓰레기 정보를 생산하는 유해소프트웨어 제작자의 배포 수단인 렉페텍스 봇넷과 맞서 싸우고 있다고 보도했다.

렉페텍스는 페이스북 소셜네트워크 사용자에게 스팸 메시지를 보여 주는 식으로 서비스를 오염시킨다. 이를 방해하는 요인이 나타나면 그걸 분석하고 대응해 내성을 키울 수 있도록 만들어졌다.

렉페텍스의 제작자는 지난해 12월부터 지난달까지 스팸을 20번이나 뿌려댈 정도로 코드를 꾸준히 변경했다. 다만 이에 동원된 기법은 봇넷이 보낸 첨부파일을 사용자가 열게 해 그 컴퓨터를 감염시키는 뻔한 것이었다.

페이스북은 이런 렉페텍스 봇넷을 '마이크로소프트(MS) 맬웨어 프로텍션 센터'로 추적했다. 이로써 그리스 경찰 페이스북이 소셜 스팸으로 사용자 환경을 오염시키는 활동을 멈출 수 있게 도왔다.

페이스북은 스팸 봇넷 대응 수단으로써 백신(안티바이러스) 소프트웨어가 무용지물이었기 때문에 렉페텍스로부터 직접 정보를 추출하기 위한 툴을 만들어 배포하기 시작했다고 밝혔다.

그리스 경찰이 지난 3일 렉페텍스 제작자를 체포했다. 경찰의 추적일지는 그를 잡기까지 얼마나 시간이 걸렸는지, 그리고 그 추적기간 동안에도 얼마나 녹록찮은 대응책을 필요로 했는지 보여 준다는 점에서 주목할만하다.

페이스북은 2013년 12월, 그리스에서 처음으로 자동화된 스팸 메시지 계정을 포착했다. 지난 4월 10~17일엔 악성코드 배포 계정, 테스트 계정, 수익화 계정 등 'C2'를 포함한 기술 인프라를 동시에 무력화했다. 같은달 30일엔 그리스 현지 사법당국에 이 사건을 신고했다.

지난 5월엔 봇넷 제작자가 페이스북을 상대로 남긴 메시지를 그 악성코드와 봇넷 지휘통제 웹페이지에서 발견했는데, 제작자는 그 지휘통제를 위한 서비스 수단을 1회용 메일 사이트와 '페이스트빈'이라 불리는 텍스트 자료 공유사이트로 전환했다.

5월부터 지난달까지 페이스북은 봇넷 운영 체계를 파괴하기 위해 백엔드를 겨냥한 대응 방식을 더했다. 그리고 지난달 봇넷 제작자는 악성코드에 폭탄메일 유포 기능을 추가했다. 이는 페이스북을 통한 스팸 발송이 더 어려워진 시점 이후로 추정됐다. 지난 3일 그리스 사법당국이 봇넷 제작자로 추정되는 용의자를 체포했다.

페이스북은 봇넷 제작자로부터 악성코드에 심어 놓은 메시지를 발견했다고 했는데, 그 내용은 수사관들이 찾아낼 수 있도록 남긴 것이었다며 그걸 다음과 같이 공식 노트에 소개했다.

5월에 우리는 지휘통제 서버가 우리 팀을 위한 노트를 남기기 시작했다는 것을 깨달았습니다. 이를테면 '안녕 여러분.. :) 하지만 난 빌**을 제우스봇/스카이넷 봇이나 다른 *같은 게 아니야.. 뻥 아냐.. 지뢰만 조금 있는 거지. 나 힘들게 하지마..'같은 문구입니다. 그 무렵에 우리가 또 알아차린 건 악성코드에 사용된 암호화 키가 'pepeishereagain1'과 'IdontLikeLecpetexName.'같은 메시지를 드러내는 구절로 사용되기 시작했다는 거였습니다. 이런 변화는 봇넷 제작자가 우리의 노력에 따른 충격을 느꼈다는 걸 암시했습니다.

페이스북이 '노트' 기능으로 이를 알렸다는 점도 이례적이다. 해당 노트에 게재된 나머지 내용들은 기술적인 세부사항으로 가득차 있는데, 원래 이들은 기술적인 내용을 다룰 때 주로 페이스북 서비스가 아니라 별도 사이트인 '엔지니어링 블로그'를 활용해 왔다. 이는 주로 개발자와 기술 전문가를 위한 곳이다.