사물인터넷(IoT) 악성코드를 만든 해커 3명이 미국 법집행기관의 사이버범죄 수사에 적극 협조한 덕분에 실형을 면했다. 2년전 악성코드 감염 기기를 동원한 분산서비스거부(DDoS) 공격으로 유명 인터넷 사이트 장애와 여러 변종 등장을 유발한 '미라이(Mirai)' 제작자들 얘기다.
미라이는 2년전 창궐한 악성코드다. 가정용 인터넷공유기, 네트워크라우터, 디지털비디오레코더(DVR), CCTV용 네트워크카메라 등 IoT기기를 공격했다. 인터넷에서 관리자 계정명과 패스워드를 기본값으로 쓰는 기기를 찾아다니며 감염시키고 스스로 전파되게끔 만들어졌다. 감염 기기를 해커 의도에 따라 움직이는 봇넷(botnet)으로 만들었다. 봇넷을 특정 대상에 과도한 트래픽을 유발하는 DDoS 공격에 동원했다.
2016년 9월 30일 핵포럼스(Hackforums)란 사이트에 미라이의 소스코드가 게재됐다. 이를 게재한 이용자 'Anna-senpai'는 자신이 해당 코드를 통해 최다 38만대 규모의 봇넷을 동원했으며, 첫 대규모 공격 후 인터넷사업자들이 대응 조치를 취했음에도 여전히 30만대 규모 봇넷을 동원할 수 있다고 주장했다. 그해 9월부터 10월까지 소스코드 유포 전후로 미라이 봇넷이 유발한 DDoS 공격 사례가 언론에 소개됐다.
소스코드 공개를 전후로 유명 보안전문가 블로그, 도메인네임시스템(DNS)업체 등에 대규모 DDoS 공격이 연이어 발생했다. 9월말 미라이 소스코드 유포 직전 브라이언 크렙스의 블로그 '크렙스 온 시큐리티'에 초당 600기가비트(Gbps) 규모 트래픽이 쏟아졌다. 블로그 서비스가 일시 중단됐다. 10월 하순엔 DNS업체 '딘(Dyn)'에 1.2Tbps 규모 공격이 발생, 서비스 장애로 깃허브, 레딧, 트위터 등 서비스 장애가 있었다.
또 10월 하순중 서아프리카 해안국 '라이베리아'의 전체 인터넷을 마비시킬 뻔한 DDoS 공격도 있었다. 미라이 악성코드 기반 봇넷이 라이베리아 현지 해저케이블 공동소유업체 통신사 2곳에 할당된 IP주소를 겨냥해 500Gbps 규모의 트래픽을 보냈다. 그 무렵 국내에서도 미라이 악성코드가 발견됐다. 다만 IoT 기기가 아니라 특정 웹사이트를 해킹해 숨어든 상태였다. 구체적인 DDoS 공격 피해는 확인되지 않았다.
미라이 악성코드를 제작하고 봇넷을 동원해 수개월간 DDoS 공격을 실행한 해커들은 결국 미국 연방수사국(FBI)의 추적 끝에 기소됐다. 3명의 해커는 Anna-senpai라는 인격의 실제 인물인 파라스 자(Paras Jha), 조시아 화이트(Josiah White), 달튼 노먼(Dalton Norman)이다. 이들은 모두 20대 초반의 미국 거주자들이었다. 이들은 지난 2017년 12월 자신들이 기소된 미국 알래스카 법원에서, 각자의 혐의를 인정했다.
당시 외신 보도에 따르면 '자'는 미국과 해외에 소재한 웹사이트와 호스팅 업체를 상대로 DDoS 공격을 수행하려고 공모했고, 공격을 중단하기 위한 대가로 표적이 된 이들로부터 금전 지불을 요구했고, '화이트'는 인터넷에 연결된 보안이 취약한 기기를 찾아내 악성코드에 감염될 수 있게 만드는 미라이 봇넷의 '스캐너'를 제작, '노먼'은 기기의 취약점을 봇넷에 악용할 수 있는 익스플로잇을 개발했다. [☞원문 보기]
자는 자신의 컴퓨터에서 코드가 발견될 경우를 염두에 두고 '발뺌의 여지(plausible deniability)'를 만들고자 자신이 코드를 공개적으로 배포했음을 시인했다. 해당 코드는 그걸 써서 누구든지 봇넷을 만들어 DDoS 공격에 쓸 수 있을만큼 효과적인 것으로 평가됐다. 그의 미라이 관련 혐의는 소스코드를 온라인에 게재한 시점까지고, 이후 다른 범죄자들이 그걸 활용한 변종을 여러 공격에 쓴 걸로 정리됐다.
이 3명의 '피고인'들에게 봇넷 기반 DDoS 공격 외에 적용된 또 다른 혐의는 2016년 12월부터 2017년 2월 사이 가정용 인터넷 공유기를 포함한 미국 소재 컴퓨터를 악성 소프트웨어로 감염시킨 뒤 그 사용자들에게 클릭사기를 포함한 광고 사기를 치는 수단으로 동원해 수익을 창출했다는 내용이었다.
이후 최근까지 해커들은 특기를 살려 FBI를 도와 다른 사이버범죄의 수사를 지원해 온 것으로 보인다. 미국 법무부는 지난 18일 "FBI가 해커들과 협력해 다른 복잡한 사이버범죄 수사에 실질적인 도움을 받았다"며 "미라이와 클릭사기(clickfraud) 봇넷 형성에 책임이 있는 피고인들은 그들 형량(sentencing)의 일환으로 FBI 지원을 계속할 것"이라고 발표했다. [☞원문 보기]
법무부 발표에 따르면 자, 화이트, 노먼, 3명의 해커는 미라이 봇넷 운영으로 컴퓨터 사기 및 남용 금지법 위반 혐의로 유죄 선고를 받았다. 선고에 따라 이들은 FBI와의 협력, 보호관찰 5년, 지역사회봉사 2천500시간, 12만7천달러의 배상금 지불 명령을 이행해야 한다. 또 수사 과정에서 압수된 암호화폐 상당량을 포기해야 한다. 더불어 앞으로도 사이버범죄 및 사이버보안 문제 관련 FBI에 협조하고, 광범위한 법집행기관 및 연구 커뮤니티와 협력하고 그들을 지원해야 하는 의무를 진다.
관련기사
- "악성코드 감염 IoT기기, 109Gbps 디도스 유발"2018.09.20
- "미라이 감염 기기들, 청부 디도스 공격에 동원돼"2018.09.20
- "IoT기기 먹통 만드는 악성코드 확산"2018.09.20
- 디도스 유발 악성코드 '미라이', 한국서도 발견2018.09.20
FBI 특수요원 제프리 페터슨은 "오늘 선고 발표는 국제 법집행기관과 민간부문의 파트너십 협력 없이는 불가능했을 것"이라며 "FBI는 이런 관계를 강화하고 사이버범죄에 대응할 혁신적 방법을 찾는 일에 전념하고 있다"고 말했다. 그는 "사이버범죄자들은 종종 젊은 연랭대부터 그들의 기술적 능력을 개발하곤 한다"며 "이 사건은 범죄자들이 그들 행위에 책임을 지게 하는 동시에 그들의 능력을 적용할 다른 길을 선택하도록 장려하려는 우리의 노력을 보여 준다"고 덧붙였다.
19일(현지시간) 이를 보도한 미국 지디넷은 미라이 봇넷 제작자들이 FBI에 실질적인 도움을 준 덕분에 감옥행을 피했다며, 이들이 '블랙햇' 해커에서 '화이트햇' 해커로 전향했다고 평했다.