트렌드마이크로는 미국·남미·유럽의 15개 은행 고객뿐 아니라 이베이와 페이팔을 포함한 여러 온라인 결제 업체들을 공격 대상을 삼은 제우스 봇넷 명령 및 제어(C&C) 서버를 도메인 등록 업체인 CDMON과 협력을 통해 제거했다고 5일 밝혔다.
제우스는 봇넷을 구축해 사람들의 PC에서 중요한 개인 금융정보를 훔치는데 사용되는 크라임웨어 도구 키트다. 현재 여러 가지 제우스 봇넷이 활동하고 있으며 그들을 만들어 낸 봇마스터에게 활동을 보고하고 있다.
트렌드마이크로의 보고서에 따르면 공격 대상이 되었던 은행들 간에 일관성이 없고 감염된 컴퓨터의 위치를 감안해 볼 때 봇마스터는 기본 구성은 그대로 두고 자신이 속한 지리적 영역에 바이러스인 ‘트로이 목마’를 퍼뜨린다.
500대 이상의 제우스 C&C 서버를 모니터링하는 제우스 트래커(Zeus Tracker)에 따르면, 러시아에는 44대, 미국에는 35대, 루마니아에는 29대 그리고 우크라이나에는 28대의 제우스 C&C 서버가 운영되고 있다. 제우스가 과거의 경쟁자인 스파이아이(SpyEye)와 통합된 것으로 보이긴 하지만 사람들은 여전히 독립 실행형 제우스 멀웨어 도구키트를 사용하고 있다.
이번에 트렌드마이크로가 제거한 봇넷은 아메리카 지역에서 만들어진 것으로 C&C 서버로 들어오는 요청들 중 95% 이상이 남미, 특히 멕시코에서 이루어지고 있다는 것을 파악했다.
장윤정기자 linda@etnews.co.kr