스팸봇넷의 황제 Srizbi의 부활, 방어에도 돈이 무지 깨진다!

스팸메일을 막는데도 돈이 무진장 필요한 듯 싶다. 26일에 컴퓨터월드는 대규모 스팸메일을 뿌려대는 봇넷의 황제 Srizbi가 다시 부활했다는 뉴스를 전했다.

스토리를 보자하면 이렇다. Srizbi의 컨트롤 타워 역할을 하던 것이 웹호스팅 업체인 맥콜로의 호스팅 서버였고 영업정지를 시킨 후 스팸발송 건수는 상당수 줄어들었다. 그런데 이는 일시적인 현상이었을 뿐 스패머들은 다른 경로를 찾으면 얼마든지 확산시킬 수 있었던 것이다. 이에 보안업체인 파이어아이는 스팸경로를 차단하기 위해 수백개의 서브 도메인을 스패머들 보다 먼저 등록했으나 자금난에 봉착해 이를 중단했다는 것이다. 파이어아이의 도메인 등록이 중단된 이후 맥콜로 고객 10만대의 PC에 스팸메일이 다시 뿌려지기 시작했다는 것이다. Srizbi에 감염된 PC들이 새로운 명령제어 서버에 접속을 성공하면서 Srizbi가 다시 부활했다고 파이어아이 관계자가 말했다.

즉, 그동안 Srizbi를 막았던 것은 맥콜로 호스팅 서버를 중지시키고 스패머들보다 앞서 서브 도메인을 등록한 파이어아이의 몫이었다는 얘기다. 그리고 자금난으로 그게 안되니 다시 Srizbi가 활개를 친다는 말이다. 결국 스팸봇넷의 대부라 불리는 Srizbi를 막기 위해서는 파이어아이에 자금력을 다시 확보시켜서 그동안 해왔던 도메인 등록을 계속 해야한다는 얘기가 된다. 아니면 아예 근본적인 대책을 세워야 하는데 그게 쉬워보이지는 않아보인다.

확실히 스팸메일은 메일이라는 형식 때문에 도메인을 갖고 있어야 하는데 아무리 제맘대로 만들 수 있는 도메인이라고 해도 의미가 있어야 하기에 만들 수 있는 도메인에는 형식아닌 형식이 만들어지곤 한다. 그래서 스팸도메인을 미리 선점해서 그것을 못쓰게 하는 파이어아이와 같은 방법이 먹히는 것도 그 스팸메일 도메인을 만들어내는 규칙을 파악해서 미리 사들여 사용하지 못하게 하는 것이다. 그런데 그런 도메인 선점 방법 이외에 다른 방법으로 획기적으로 스팸메일 발송을 막을 수 없을까 하지만 아직까지는 나오지 않은 듯 싶다. 그래서 아직까지는 적어도 파이어아이와 같은 방법을 사용해야 하고 그렇게 하기 위해서는 어찌보면 천문학적인 돈이 필요하는 것일 수 있다.

봇넷 자체도 돈이 들어가지만 그 봇넷을 막기위한 돈도 봇넷 만큼이나 들어가는 정말 이래저래 돈들어가는 세상이다. -.-;

* 관련 뉴스 *
대규모 스팸 뿌리는 봇넷 'Srizbi' 부활 (아이뉴스24)