시만텍과 정부당국이 320만대 이상 PC를 감염시킨 사이버 범죄 조직을 검거했다.
시만텍코리아(대표 조원영)은 유럽연합 범죄대책기구 유로폴과 공조해 램니트(W32.Ramnit.B) 배후 조직을 검거했다고 2일 밝혔다. 램니트는 지난 5년간 총 320만대 이상 PC를 감염시킨 악성코드다.
시만텍과 정부 당국은 작전으로 사이버 범죄 조직 서버와 기타 인프라를 압수했다.
램니트는 지난 2010년 처음 발견됐다. 2011년 5월 유출된 제우스 트로이목마(Trojan.Zbot) 소스코드를 이용해 공격 역량을 강화했다. 지난 5년간 램니트에 감염된 PC는 총 320만대에 이른다. 지금도 감염 상태인 PC가 무려 35만대다. 램니트는 공격적 자가전파 기술로 급속히 확산됐다. 금융 정보·비밀번호·쿠키·개인 파일을 수집하는 거대 사이버 범죄 조직으로 성장했다.
램니트는 PC를 감염시킨 후 다양한 공격 기법을 활용한다. 로컬 하드디스크와 이동식 드라이브에서 EXE·DLL·HTM·HTML 파일을 자신 복사본으로 감염시킨다. 공격자는 램니트를 활용해 피해자 웹 브라우징 세션을 감시한다. 이를 통해 금융 정보를 가로채고 웹사이트 쿠키를 탈취, 피해자를 사칭한다. 하드디스크에서 파일을 빼낼 수 있다. 피해자 PC에 원격 접속해 정보를 빼내거나 악성코드를 추가로 다운로드한다.
가장 심한 피해를 입은 국가는 인도·인도네시아·베트남·방글라데시·미국·필리핀으로 나타났다.
김인순기자 insoon@etnews.com