[아이티투데이 성상훈 기자] 시만텍이 유럽연합의 범죄대책기구 유로폴 및 민간기업들과 공조해 지난 5년간 총 320만대 이상의 컴퓨터를 감염시킨 악성코드 램니트(W32.Ramnit.B) 배후의 사이버 범죄 조직을 검거했다.

시만텍은 현지 정부 당국과 공동 작전을 통해 사이버 범죄 조직의 서버와 기타 인프라를 압수했으며, 이번 검거는 민관 협력을 통해 국제적인 사이버 범죄 조직을 검거한 사례라는 점에서 의미가 있다.

2일 시만텍에 따르면 램니트는 지난 2010년 처음 발견되었으며, 2011년 5월 유출된 제우스 트로이목마(Trojan.Zbot)의 소스코드를 이용해 공격 역량을 한층 강화했다. 지난 5년 간 램니트에 감염된 컴퓨터는 누적해서 총 320만대이며, 지금도 감염 상태에 있는 컴퓨터가 무려 35만대에 이르는 것으로 나타났다.

램니트는 공격적인 자가전파 기술을 통해 급속히 확산되면서 금융 정보, 비밀번호, 쿠키, 개인 파일을 수집하는 거대 사이버 범죄 조직으로 성장할 수 있었다.

램니트는 컴퓨터를 감염시킨 후 다양한 공격 기법을 활용하는데, 로컬 하드디스크와 이동식 드라이브에서 EXE, DLL, HTM, HTML 파일을 자신의 복사본으로 감염시키는 것이 특징이다. 공격자는 램니트를 활용해 피해자의 웹 브라우징 세션을 감시하고, 금융 정보를 가로챌 뿐 아니라 웹사이트 쿠키를 탈취해 피해자를 사칭하며 하드 디스크에서 파일을 빼낼 수 있다. 또한, 피해자 컴퓨터에 원격으로 접속해 정보를 몰래 빼내거나 멀웨어를 추가로 다운로드 할 수 있다.

램니트에는 감염된 컴퓨터에서 쉽게 램니트를 제거하지 못하도록 다양한 기능을 포함하고 있다. 침투와 동시에 스스로를 복사해 감염된 컴퓨터의 메모리 및 하드디스크에 설치하고, 메모리에 설치된 복사본은 하드디스크를 감시해 만약 하드디스크에 설치된 복사본이 삭제되거나 격리되면 다른 복사본을 하드디스크에 설치해 감염상태를 유지시킨다.

램니트 컨트롤러는 공격을 위해 봇넷(botnet)을 구축하는데 그치지 않고 이를 활용하며 진화해온 것으로 보인다. 램니트 초기 버전은 파일 감염 루틴을 통해 확산됐으며, 최근에는 고도의 다양한 기술과 전략을 통해 컴퓨터를 감염시킨다.

예를 들어, 감염 웹사이트와 소셜 미디어 페이지에서 공격 키트를 호스팅 하거나 FTP 서버를 통해 램니트를 배포하는 경우도 있다. 또한 신뢰도가 낮은 소스에서 제공하는 소프트웨어 번들을 설치하는 과정에서 원치 않는 애플리케이션을 통해 자신도 모르게 램니트가 설치될 수도 있다.

한편 램니트는 전세계 대부분의 국가에서 감염 사실이 확인되고 있다. 가장 심한 피해를 입은 국가는 인도, 인도네시아, 베트남, 방글라데시, 미국, 필리핀으로 나타났다.