사용자 모르게 악성코드나 악성 소프트웨어에 감염돼 통제를 받는 대량의 봇(bot)을 일컫는 봇넷(botnet)이 트위터상에 가짜 계정을 만든 뒤 이용자들의 암호화폐를 무료로 배포한다는 거짓 정보를 퍼뜨린다는 사실이 보안업체 듀오 시큐리티(Duo Security) 연구팀에 의해 확인됐다.

듀오 시큐리티는 지난 5~7월 석 달간 트위터 계정 8,800만 개를 조사한 결과 봇네트 현황을 밝혀냈다. IT프로의 보도에 따르면, 듀오 시큐리티는 악성코드나 감염된 봇을 감별하기 위해 머신러닝 기술을 이용했다.

듀오 시큐리티 연구팀은 특히 3단 구조로 된 단일 네트워크에서 15,000개 넘는 봇이 암호화폐를 공짜로 나눠준다는 거짓 정보를 퍼뜨리는 것을 발견했다. 문제의 봇들은 악성 봇 감지 및 차단 프로그램을 피하기 위해 시간이 흐르면서 행동 패턴을 바꾸기도 했다.

봇네트의 작동 원리와 현황을 설명한 연구팀의 보고서는 오늘(8일) 컴퓨터 보안 기술을 다루는 블랙핵(Black Hat) 사이버보안 국제회의에서 발표됐다.

봇들은 먼저 실제 존재하는 암호화폐 관련 진짜 계정에서 이름이나 프로필 사진을 베껴 모방 계정을 만든다. 암호화폐를 공짜로 나눠준다는 거짓 정보를 퍼뜨리기 위해 봇들은 진짜 계정에 올라온 진짜 트윗에 댓글을 달고 거기에 거짓 정보가 담긴 링크를 건다.

좀 더 치밀한 방법도 있는데, 수많은 가짜 계정이 연구진이 “중심 계정(hub accounts)”으로 명명한 계정을 동시에 팔로우해서 중심 계정을 마치 대단한 계정처럼 위장하는 것이다.

봇네트는 또 “증폭 봇(amplification bots)”을 이용하기도 했는데, 또 다른 가짜 계정을 만들어 이를 통해 사기 트윗에 '좋아요'를 눌러 인위적으로 가짜 트윗의 인기를 증폭시켜 암호화폐 사기 자체를 진짜인 것처럼 보이게 하는  인기도를 증폭시켜 암호화폐 사기가 합법적인 것처럼 보이게 하는 수법이다.

문제의 봇들끼리 얽히고설킨 연결고리를 찾은 결과 3단으로 이뤄진 봇네트의 전모를 밝혀낼 수 있었다. 3단 구조는 거짓 정보를 퍼뜨리는 기본 봇과 기본 봇들이 일제히 팔로우하는 중심 계정, 그리고 기본 봇이 올린 사기 트윗에 '좋아요'를 누르도록 프로그램된 증폭 봇으로 이뤄져 있다. (중심 계정은 늘 있지는 않다) 증폭 봇은 다른 봇들이 올리는 거짓 정보나 위장용 트윗에 '좋아요'를 누르기 때문에 3단 구조를 지도로 그리면 일종의 연결 고리 역할을 한다.

듀오 시큐리티 연구팀이 무려 세 단계로 이뤄진 봇네트를 발견해 봇들 사이의 연결고리를 밝혀낸 과정은 무척 흥미롭다.

연구팀은 또한, 트위터가 자체적으로 이런 암호화폐 사기를 단속하기 위해 노력하고 있지만, 여전히 봇네트가 활발하게 활동하고 있으며, “복잡하지 않은 분석”으로도 이를 적발해낼 수 있다고 덧붙였다.

“아직 문제를 완전히 해결하려면 가야 할 길이 멀다.”

연구팀은 또 앞으로 보고서에 인용한 기술을 공개할 예정이라며, 이 기술을 바탕으로 악성 봇을 찾아낼 수 있는 새로운 기술이 개발되면 좋겠다고 밝혔다.

“트위터를 비롯한 소셜 네트워크가 건강한 온라인 토론 공간이자 커뮤니티로 유지되는 데 우리 기술이 밑거름이 되면 좋겠다.”

번역: 뉴스페퍼민트

• URL복사
• 텔레그램
• 페이스북
• 카카오톡
• 트위터

제보, 보도자료는 contact@coindeskkorea.com