이원영 기자
구글이 12월 7일 윈도 PC 100만 대를 포함한 인프라를 혼란에 빠뜨린 봇넷 글룹테바(Glupteba) 운영자로 보이는 러시아인 2명에 대한 소송을 했다고 발표했다. 이런 움직임은 인터넷 안정성이 비즈니스에 필수적인 하이테크 기업이 이전에는 법 집행기관이 하던 사이버 범죄자에 대한 추궁을 하는 예로 지적되고 있다.
구글은 12월 7일 공식 블로그를 통해 윈도 머신을 타깃으로 하고 블록체인 기술을 이용해 스스로를 보호하는 봇넷인 글룹테바를 혼란시키는 행동을 했다고 보고했다. 봇넷이란 악의적 사용자 제어 하에 있는 악성코드에 감염된 다수 컴퓨터로 구성된 네트워크로 감염 기기를 통해 기밀 저보를 훔치거나 사기를 행한다. 글룹테바는 2011년 발견 이후 오랫동안 법 집행기관과 봉안 연구자가 추적해온 봇넷이다.
글룹테바가 사용하는 악성코드는 의심스러운 무료 다운로드 사이트 등을 통해 대상 컴퓨터에 감염된다는 것. 구글은 블로그에서 철저한 조사 결과 글룹테바 봇넷은 전 세계 100만 대에 달하는 침해된 윈도 기기를 포함하고 있으며 하루에도 수천 대 속도로 성장하고 있는 글룹테바는 사용자 자격 증명과 데이터를 훔치고 감염된 호스트에서 암호화 자산을 채굴하고 감염된 컴퓨터와 라우터를 통해 다른 인터넷 트래픽을 감염시키기 위한 프록시를 설정하는 것으로 악명이 높다. 또 글룹테바는 구글 계정 로그인 정보를 훔쳐 판매하거나 감염 기기에 대한 액세스 권한을 다른 해커에 판매하는 장사도 하고 있었다고 한다.
글룹테바에 대한 추적 조사를 해온 구글은 업계 파트너와 협력해 기술적 법적 조치를 취했다. 기술적 조치로는 구글은 지난 1년간 글룹테바 관련 1,183개 구글 계정과 구글 클라우드 프로젝트 908개, 구글 광고 계정 870개, 구글 문서 6,300마 개를 종료했다. 또 악성 파일을 다운로드하려는 사용자 350만 명에게 구글 세이프 브라우징을 통해 경고를 받았다고 보고했다.
구글은 또 지난 며칠 동안 클라우드플레어를 포함한 인터넷 인프라 제공업체와 호스팅 업체와 제휴해 글룹테바 서버를 중지하고 악성 도멩인에 연결하는 경고 페이지를 설치하는 등 글룹테바 작동을 방해했다. 구글 방해 공작으로 글룹테바 주요 지휘 계통에 혼란이 생긴 것으로 보이지만 글룹테바는 비트코인 블록체인에 인코딩된 백업 명령과 제어 메커니즘 보호 시스템을 통합하고 있기 때문에 혼란으로부터 빠르게 회복할 가능성이 있다고 한다.
구글은 이런 기술적 행동과 병행해 글룹테바 운영자로 보이는 러시아인 2명(Dmitry Starovikov와 Alexander Filippov)에 대한 소송을 뉴욕주 남부지구 연방지방법원에서 진행했다. 이들 2명은 글룹테바에 명령을 보낸 IP 주소에 구글 이메일 주소 계정을 설정했으며 봇넷에 포함된 컴퓨터 데이터를 판매하는 사이트와 구글 계정간 연결도 확인됐다고 한다.
구글은 자사는 글룹테바가 부활해도 인터넷이 더 잘 보호되도록 싸우기 위해 산업계, 정부와 긴밀하게 협력하고 있다며 이런 적극적 행동을 취하는 건 보안에 중요하며 인터넷이 직면한 위협을 이해하고 인식, 해결하기 위해 역할을 다할 것이라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
