수십만 대의 라우터와 사물인터넷(IoT) 기기를 감염시켜 수백만 달러 규모의 사기 행각을 벌인 대규모 프록시 봇넷 '삭스에스코트'가 국제 공조 수사로 해체됐다.
13일(현지시간) 유럽연합 경찰기구(유로폴)에 따르면 미국 연방수사국(FBI) 등 국제 법 집행기관은 '라이트닝 작전'을 통해 악성 봇넷 '삭스에스코트'를 해체했다. 이번 작전으로 7개국에 걸쳐 있던 서버 23개와 도메인 34개가 폐쇄됐으며, 미국에서는 약 350만달러(약 50억4000만원) 상당의 가상자산이 압수됐다.
삭스에스코트는 'AV레콘' 악성코드를 이용해 163개국에 걸쳐 36만9000대 이상의 라우터와 IoT 기기를 감염시킨 것으로 드러났다. 해커들은 이 기기들을 좀비 PC로 만들어 '악성 주거용 프록시' 네트워크를 구축했다.
주거용 프록시는 실제 가정집의 기기와 IP 주소를 통해 인터넷 트래픽을 우회시키는 서비스다. 공격자들은 이를 통해 자신의 실제 위치를 숨기고 일반 사용자로 위장해 보안 시스템을 회피하며 금융 사기, 광고 사기, 계정 탈취 등 다양한 범죄 활동을 벌였다.
미국 캘리포니아 동부지방 검찰청은 이번 사건으로 뉴욕의 한 가상자산 거래소 고객이 100만달러(약 14억4000만원)의 사기 피해를 입었다고 밝혔다. 또한 펜실베이니아의 한 제조업체는 70만달러(약 10억800만원), 미군 현역 및 전역 장병들은 10만달러(약 1억4400만원)의 피해를 본 것으로 파악됐다.
유로폴은 해커들이 특정 브랜드의 주거용 모뎀에 존재하는 보안 취약점을 통해 악성코드를 유포했다고 설명했으나, 구체적인 브랜드명은 공개하지 않았다. 보안 전문가들은 이 봇넷이 15년간 운영되어 온 것으로 추정하고 있다.
보안업체 블랙로터스랩스는 보고서를 통해 삭스에스코트를 '최근 역사상 소규모 사무실 및 홈오피스(SOHO) 라우터를 표적으로 삼은 가장 큰 봇넷 중 하나'라고 평가했다.