글로벌 수사 당국이 악성코드 '이모텟(Emotet)' 봇넷을 제거했다.
미국, 네덜란드, 독일, 영국, 프랑스, 리투아니아, 캐나다, 우크라이나 수사 당국 연합은 27일(미국시간) 이모텟 운영 인프라 통제권을 확보했다고 밝혔다.
이모텟은 지난 2014년 은행을 노린 트로이목마 악성코드로 처음 발견됐다. 이모텟을 운영하는 해커는 송장, 배송 안내, 코로나19 관련 정보 등을 사칭한 메일을 이용해 주로 금융권에 악성코드를 유포했다. 이후 감염된 기기를 대상으로 데이터 탈취, 랜섬웨어 공격 등을 수행해왔다.
이 뿐만 아니라 다른 해커에게 대가를 받고 이모텟 감염 기기에 다른 악성코드를 설치할 수 있도록 지원하기도 했다. 이를 통해 랜섬웨어 '류크', 정보 탈취 악성코드 '트릭봇'이 유포됐다.
유로폴 유럽사이버범죄센터(EC3) 운영 책임자인 페르난도 루이즈는 "이모텟은 전체 맬웨어 공격의 30%에 관여해왔다"며 "이모텟 인프라 운영이 중단된 것이 범죄 환경에 중요한 영향을 미칠 것"이라고 미국 지디넷에 말했다.
수사 당국 연합에 따르면 이모텟은 전세계에 위치한 수백대의 서버를 통해 운영되고 있었다. 해커는 이 서버들을 이용해 이모텟 감염 기기 관리 및 추가 확산, 해커 대상 서비스 제공, 이모텟 비활성화 시도에 대응하기 위한 탄력적인 네트워크 구성 등을 꾀했다.
글로벌 수사 당국 연합은 지난 2년여간 협력 과정 끝에 이번 주 이모텟 인프라 제어권 확보 조치를 실시, 이모텟 운영을 중단시켰다.
관련기사
- 악성코드를 '움짤'로 바꿔 해킹 피해 막았다2020.07.27
- 금융권 겨냥 악성코드 '이모텟', 올해 활동 급증2020.02.07
- 악성코드 '이모텟', 일본서 신종 코로나 안내문 사칭 메일로 확산2020.01.30
- 악성코드 '이모텟', 그룹메일 대상으로 확산2020.01.22
수사 당국 연합은 이모텟을 운영한 해커를 특정하기 위한 조사를 진행 중이다. 우크라이나 경찰은 이모텟 서버 유지관리 업무를 맡은 것으로 추정되는 용의자 두 명을 체포했다고 밝혔다.
미국 지디넷은 네덜란드 경찰이 오는 3월25일 이모텟에 감염된 모든 기기에서 악성코드가 제거될 수 있게 하는 업데이트를 제공하고 있다고 보도했다.
