이원영 기자
2008년경부터 존재가 확인된 트로이목마형 악성코드인 Qakbot(Qbot, QuackBot, Pinkslipbot)은 감염 장치를 봇네트워크에 추가해 원격 제어 가능하게 한다. 2023년 8월 29일 이상 온라인으로 활동해온 Qakbot 봇네트워크가 미연방수사국 FBI와 사법부가 주도하는 국제 작전으로 해체된 것으로 보고됐다.
파일이나 링크가 포함된 스팸 메일을 통해 피해자 기기를 감염시킨다. 피해자가 파일을 다운로드하거나 링크를 탭하면 Qakbot은 시스템에서 다양한 자격 증명을 훔치고 추가 멀웨어를 배포해 장치를 원격으로 제어할 수 있는 봇네트워크 일부가 된다.
Qakbot은 최근에도 적극 활동하고 있으며 보안 기업인 릴리아퀘스트(ReliaQuest)에 따르면 Qakbot은 2023년 1∼7월에 걸쳐 가장 많이 관찰된 멀웨어 로더였다고 한다. 사법부는 다양한 멀웨어(Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta)가 Qakbot을 대상에 대한 첫 번째 감염 수단으로 사용했다고 말한다.
Qakbot에 감염된 피해자는 보통 자신의 장치가 Qakbot에 감염됐음을 알지 못했으며 모르는 동안 봇네트워크 일부로 멀웨어 감염에 사용됐다. 2008년 이후 Qakbot은 랜섬웨어 공격을 포함한 다양한 사이버 범죄에 이용되고 있으며 미국을 포함한 전 세계 기업에 수억 달러 손해를 입어왔다고 한다.
FBI 측은 이 봇네트워크는 전 세계 개인이나 기업에 대한 공격을 수행하는데 사용되는 컴퓨터 수십만 대로 이뤄진 명령이나 제어 인프라를 사이버 범죄자에게 제공했다고 밝혔다. 이번에 FBI는 Qakbot 봇네트워크를 해체하기 위해 미국, 프랑스, 독일, 네덜란드, 루마니아, 라트비아, 영국을 포함한 국제 작전을 실시했다. Qakbot에 대한 합법적인 액세스 권한을 취득하고 Qakbot 봇네트워크를 구성하는 전 세계에서 70만 대 이상 기기를 특정한 뒤 Qakbot 트래픽을 FBI가 관리하는 서버로 리디렉션했다고 한다.
그리고 FBI는 Qakbot에 감염된 장치에 Qakbot 제거 프로그램 파일을 다운로드해 장치를 Qakbot 봇네트워크에서 분리하고 Qakbot를 통해 멀웨어 추가 설치를 차단했다. 이로 인해 오랫동안 맹위를 떨쳐온 Qakbot 봇네트워크가 해체됐다. 또 FBI는 미국을 포함한 전 세계에서 서버 52대와 범죄 활동으로 축적된 860만 달러 자금도 압수했다고 보고하고 있다.
FBI는 광범위한 범죄 공급망을 무력화하고 차단했다면서 미국이 직면한 사이버 위협은 매일 위험하고 복잡해지고 있다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이석원 기자
