MS, 윈도우 PC 39만 대 감염시킨 악성코드 ‘루마C2’ 차단

[아이티데일리] 사이버 범죄에 활용되던 정보 탈취형 악성코드 ‘루마C2(LummaC2)’가 마이크로소프트(MS)와 국제 수사기관에 덜미를 잡혔다.

MS 디지털 범죄 부서(DCU)는 21일(현지 시각) 공식 홈페이지를 통해 루마C2 운영 조직과 대리인들이 사용하는 악성 도메인 2,300개를 차단했다고 발표했다. 같은 날 미국 법무부도 루마C2를 운영하는 데 쓰인 인터넷 도메인 5개의 압수 조치를 승인했다.

루마C2는 MS 윈도우(Windows) 환경을 표적으로 한 정보 탈취형(Infostealer) 악성코드다. 암호화된 명령제어(C2) 채널을 통해 비밀번호, 암호화폐 지갑 등 민감 데이터를 탈취하는 데 최적화된 구조로 설계됐다.

루마C2는 주로 피싱 이메일이나 불법 소프트웨어를 통해 유포됐다. 미국 연방수사국(FBI)에서는 해당 악성코드로 인한 감염 사례 170만여 건을 확인했다.

씨큐비스타가 지난 1일 발간한 보고서에 따르면, 루마C2는 사용자가 악성 파일을 실행하면 정상 프로세스에 자신을 인젝션해 탐지를 회피했다. 수집한 정보는 다단계 암호화를 거친 뒤 HTTPS 기반 C2 서버로 전송됐으며, 그 경로를 무작위로 변경해 트래픽 분석을 우회했다.

MS는 올해 3월 16일부터 5월 16일까지 전 세계 39만 4천 대가 넘는 윈도우 컴퓨터가 루마C2에 감염된 사실을 확인했다. 이에 FBI, 유로폴(Europol), 일본 사이버 범죄 통제 센터(JC3) 등 국제 수사기관과 협력해 루마C2 차단에 나섰다.

그 결과, MS는 루마C2 운영에 쓰인 도메인 2,300개를 차단 조치했다. 또한 유로폴의 지원을 받은 도메인 300개를 포함해 회사에서 압수하거나 이전한 도메인 1,300여 개를 자사 싱크홀로 보내 C2 서버와의 통신을 차단했다.

미국 법무부에서도 루마C2 관리자들이 다른 사이버 범죄자에게 악성코드를 배포하는 데 사용한 도메인 5개를 압수했다.

MS DCU 스티븐 마사다(Steven Masada) 법률 자문위원은 “사이버 범죄자들이 사용하는 메커니즘에 대한 접근을 차단하면 단 한 번의 조치로 수많은 악의적 공격을 방해할 수 있다”며 “이를 위해선 업계와 정부 전반에 걸친 협력이 필요하다. 루마C2 대응에 도움을 준 이셋(ESET), 클라우드플레어(Cloudflare) 등 사이버보안 기업과 정부 기관에 감사를 표한다”고 밝혔다.