마이크로소프트가 전세계에서 유포되던 정보탈취 악성코드 '트릭봇' 운영 서버를 대부분 비활성화하는 데 성공했다.
MS는 자사 블로그를 통해 현재 트릭봇 인프라의 약 94%를 차단했다고 밝혔다.
트릭봇은 주로 피해자의 금융 거래 정보, 웹 브라우저 정보 등을 탈취하는 악성코드로 북미, 일본 등에서 유포돼왔다. 최근에는 미국 의료법인 유니버설헬스서비스와 미국 대통령 선거 인프라 해킹 시도에 악용된 것으로 알려지기도 했다.
지난 12일 MS는 미국 대선 인프라와 공공기관, 금융·의료 분야와 기업, 대학 등을 사이버공격으로부터 보호하기 위해 트릭봇 서버를 중단하게 할 것이라고 밝혔다.
이를 위해 금융 보안 컨소시엄인 FS-ISAC, 보안 기업 이셋과 루멘, 시만텍, 일본 통신사 NTT 및 전세계 인터넷서비스제공자(ISP) 등 글로벌 파트너사와 협업할 것이라고 언급했다.
이같은 노력을 통해 트릭봇 운영 서버 69개 중 62개를 비활성화하는 데 성공했다. 나머지 7개 서버는 해커가 공격을 수행하는 데 쓰는 명령제어(C2) 서버가 아닌, 트릭봇에 감염된 IoT 기기 중 운영 인프라로 활용되는 경우라고 덧붙였다. 이 경우 기기들이 웹 호스팅 기업이나 데이터센터에 위치해있지 않아 기기 보유자들에게 연락이 닿지 못해 비활성화하지 못했다. MS는 이 서버들도 비활성화를 추진 중이다.
관련기사
- MS 연합체, 악성코드 확산 경로 '트릭봇' 해체 실패2020.10.14
- 워드 파일로 위장한 정보 탈취 악성코드 발견2019.09.05
- [ZD브리핑] 이재용 회장, 경영권 승계 의혹 결심 공판의 날2024.11.24
- "삼성전자, 美 반도체 기업 넷리스트에 1660억 배상해야"2024.11.24
트릭봇을 운영하는 해커는 사용하던 서버가 비활성화되자 이를 대체하기 위한 새로운 서버들을 만들었다. MS는 이같은 서버를 59개 발견했다. 현재까지 발견된 총 128개 트릭봇 운영 서버 중 120개를 차단했다.
미국지디넷은 보안 기업 인텔471에 따르면 현재 활성화된 트릭봇 운영 서버들이 브라질, 콜롬비아, 인도네시아, 키르기스스탄 등에 있다고 밝혔다. MS는 미국 대선이 실시되는 11월3일 전까지 트릭봇 인프라 추적을 지속할 계획이다.