사이버 보안 연구팀이 만료된 도메인(Expired Domains)을 재등록해 4,000개 이상의 백도어(Backdoor)를 무력화하는 데 성공했다. 이번 작업은 악성 행위자들이 해당 도메인을 악용하지 못하도록 사전에 차단하고, 백도어에 감염된 시스템을 식별해 보안 위험을 줄이는 데 중점을 두었다.

백도어는 해커들이 감염된 시스템에 비인가 접근을 허용하기 위해 설치하는 악성 코드나 도구를 뜻한다. 이를 통해 공격자는 원격으로 시스템을 조작하거나 추가 명령을 실행할 수 있다.

WatchTowr Labs와 섀도우서버 재단(The Shadowserver Foundation)의 연구진은 웹쉘(Web Shell) 형태의 백도어가 여전히 활성화되어 있지만, 이를 제어하는 도메인이 만료된 것을 발견했다. 이러한 백도어는 중국 정부 시스템, 대학 서버 등 고가치 목표에 설치되어 있었으며, 악의적인 공격자가 해당 도메인을 재등록할 경우 큰 피해가 발생할 수 있는 상황이었다.

연구팀은 만료된 백도어 도메인을 재등록해 이를 제어할 수 있는 권한을 확보했다. 이후 백도어에서 보내는 통신 데이터를 기록할 수 있는 로깅 시스템을 구축했고, 이를 통해 감염된 시스템의 일부를 식별했다.

연구팀이 등록한 40개 이상의 도메인을 통해 4,000개 이상의 감염된 시스템이 ‘연락’을 시도하는 것을 발견했다. 이 시스템들은 중국의 법원 시스템, 나이지리아 사법 네트워크, 방글라데시 정부 시스템, 그리고 태국, 한국, 중국의 교육기관 서버를 포함하고 있었다.

이번 연구에서는 여러 유형의 백도어가 발견됐다. r57shell과 c99shell 같은 고전적인 웹셸뿐만 아니라, APT(Advanced Persistent Threat) 그룹이 자주 사용하는 ‘차이나 초퍼(China Chopper)’도 포함됐다.

특히 일부 백도어는 북한 해킹 조직 라자루스 그룹(Lazarus Group)과 연관된 특징을 보였다. 다만, 연구팀은 이 도구가 다른 해커들에 의해 재활용된 가능성이 크다고 분석했다.

WatchTowr Labs는 확보한 도메인의 통제권을 섀도우서버 재단에 넘겼다. 섀도우서버는 현재 모든 트래픽을 싱크홀(Sinkhole)로 리디렉션하며, 해당 도메인이 악용되지 않도록 관리하고 있다.

사이버 보안 전문가들은 이번 연구가 만료된 도메인이 악성 행위자에게 얼마나 쉽게 악용될 수 있는지를 보여준다고 평가했다. 연구 결과는 보안 인프라 관리의 중요성을 강조하며, 특히 다음과 같은 대응 방안을 제시했다.

-도메인 관리 점검: 만료된 도메인을 포함한 디지털 자산을 정기적으로 점검하고 통제권을 유지해야 한다.

-위협 인텔리전스 도구 사용: 자동화된 도구를 통해 악성 도메인과의 연결을 조기에 탐지해야 한다.

전문가들은 이러한 보안 관리를 통해 도메인이 사이버 범죄에 악용되는 것을 방지해야 한다고 강조했다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★