보안 기업 이셋(ESET) 연구원들이 빅토리게이트(VictoryGate)라는 이름의 새로운 봇넷을 발견했다. 이 봇넷은 모네로(Monero) 암호화폐 채굴을 목적으로 2019년 5월부터 페루에 주로 유포됐으며, 이셋은 현재 빅토리게이트의 일부를 중단시켰다고 밝혔다.

빅토리게이트 봇넷의 가장 큰 문제는 금융 기관을 비롯해 공공 및 민간 부문 조직의 인프라를 공격했다는 점이다. 이셋 연구원들은 봇넷의 동작을 제어하는 여러 도메인의 데이터 흐름을 조작하는 '싱크홀링'을 통해 봇넷에 감염된 좀비 컴퓨터가 원하는 명령을 전송하지 않고, 단순히 봇넷 활동을 모니터링하는 시스템으로 대체시켰다. 

이셋에 따르면 빅토리아게이트 유포 기간 동안 적어도 3만 5천여 개의 장치가 감염 된 것으로 추정되며, USB나 외장형 하드디스크와 같은 이동식 저장 장치를 통해 유포가 이뤄진 것으로 보인다.

이셋 조사팀은 "감염된 컴퓨터에 USB가 연결되면 빅토리게이트가 USB 내의 원본 파일이 악성코드 복사본으로 대체된다"며 "USB에 저장된 파일이 감염 이전과 다르지 않아 이용자가 의심없이 파일 중 하나를 열면 악성 페이로드가 실행된다"고 밝혔다.

또, "봇넷의 리소스 사용량이 매우 높아서 CPU의 사용률이 최대 99%까지 상승해 장치에 과부하가 걸려 속도가 느려지고 과열 및 손상이 발생할 수 있다"며 "빅토리게이트는 90% 이상이 페루에서 유포됐지만, 암호화폐 채굴 외에 또 다른 악성행위를 수행할 수도 있기 때문에 주의가 요구된다"고 밝혔다.

최형주 기자 다른기사 보기