사물인터넷(IoT) 기기 수십만대 규모 봇넷 운영을 방조한 호스팅 사업자가 네덜란드 경찰에 체포됐다.
봇넷은 사이버공격을 목적으로 여러 기기들과 연결된 네트워크다. 체포된 호스팅 사업자는 그 동안 호스팅 인프라와 함께 피싱 페이지, 취약점 스캐너, 암호화폐 채굴 악성코드, 맬웨어 저장소 등 사이버공격에 필요한 요소들도 제공해온 것으로 나타났다.
미국 지디넷에 따르면 네덜란드 경찰 당국은 지난 2일 이에 대한 용의자로 네덜란드 페인담 출신의 마르코 B㉔, 미들버그 출신 안젤로 K㉘를 KV솔루션즈BV라는 회사의 사무실에서 체포하고, 서버를 압수했다고 밝혔다.
체포는 1일 이뤄졌다. 회사가 운영하는 페이스북 페이지에 '고장(a malfunction)'이라는 내용의 메시지를 게재했을 때 경찰이 사무실을 급습했다. 사용자더러 회사가 제공하는 서버를 지우라는 뜻이 함축된 메시지였다.
용의자들은 웹 호스팅 회사인 KV솔루션즈BV와 라이프호스팅BV, 그리고 보스IT홀딩BV, 크레이캠프IT홀딩BV, KBIT홀딩BT이라는 이름의 IT 회사들을 소유하고 있었다. 네덜란드 상공회의소에 따르면 KBIT홀딩BT는 이들이 소유한 회사들의 지배권을 보유한 회사다. 현재 이 회사들의 웹사이트, 도메인은 접속이 불가능한 상태다.
용의자들은 이 회사들 간 상호 연결된 네트워크를 구축한 것으로 파악됐다.
경찰 당국에 따르면 올해 동안 이들은 수십개의 분산서비스거부(DDoS) 봇넷을 호스팅했다. 봇넷은 2년여 동안 운영돼왔다. 리눅스 기반 운영체제(OS)로 작동하는 기기를 감염시키는 IoT 악성코드가 사용됐다.
사이버 범죄 감시 회사 배드패킷LLC은 이들이 제공하는 인프라를 통해 해커들이 에이수스·GPON·프리츠박스·화웨이·미크로틱·넷기어 라우터와 AV테크의 IoT 기기, JAWS 웹 서버, ZTE 케이블 모뎀 등이 감염됐다고 밝혔다.
이 인프라에서 운영된 대부분의 DDoS 봇넷이 악성코드 '미라이'를 사용하고 있었다. 그 외 F봇, 가프지트(Gafgyt), 하카이, 핸디매니, 무봇, 쓰나미, 요와이 등의 IoT 맬웨어 변종을 사용하는 경우도 포함하고 있었다.
이들이 지원하는 봇넷은 대부분 이미 만들어졌거나 자동화된 봇넷 개발 도구를 이용하는 미숙한 해커들에 의해 운영됐다. 그러나 유명 IoT 악성코드 개발자 겸 봇넷 운영자인 서비(Subby)도 이들이 제공하는 인프라를 통해 봇넷을 운영한 것으로 알려졌다.
관련기사
- KT, 블록체인 기반 ‘기가스텔스’로 IoT 보안 강화한다2019.10.04
- "산업계 통신장애 우려, 5G로 해소…IoT·AR 집중"2019.10.04
- "금융정보 겨냥 악성코드 '이모텟' 되살아났다"2019.10.04
- 중국의 반격…"미국이 해킹 공격 진원지"2019.10.04
배드패킷 창업자인 트로이 머쉬는 이들이 대리 DDoS 공격 서비스 '디도스포하이어' 호스팅도 제공했다며, 올해 이들이 호스팅을 제공한 봇넷으로 수행된 DDoS 공격 건수 44만261건을 확인했다고 언급했다.
게임 개발사 유비소프트, 전자상거래 플랫폼 '위시', 아마존웹서비스(AWS)·마이크로소프트(MS) 애저·OVH 등 클라우드 서비스, AT&T·컴캐스트·콕스·차터·차이나 유니콤 등 통신사가 DDoS 공격 피해를 입었다.
