美, '역대급 디도스 봇넷' 래퍼봇 운영자 기소…IoT 보안 경고등 켜졌다

수년간 사이버 보안 당국의 관심을 끌었던 악명 높은 봇넷 '래퍼봇(Rapper Bot)'의 운영자가 미국 수사당국에 의해 기소됐다. 오리건주 출신의 22세 남성 이선 J. 폴츠(Ethan J. Foltz)는 수십만 대의 가정용 인터넷 장비를 해킹해 대규모 디도스(DDoS·분산 서비스 거부) 공격을 주도한 혐의를 받고 있다.

미 법무부에 따르면 폴츠는 '일레븐 일레븐 봇넷', '카우봇(CowBot)' 등으로도 불리는 래퍼봇을 통해 네트워크 장비와 저장장치, 가정용 디지털 카메라 등을 감염시킨 뒤 사이버 공격 인프라로 활용했다. 이 공격은 전세계를 대상으로 실행됐으며, 약 80개국에서 1만8,000곳 이상의 시스템이 피해를 입은 것으로 드러났다. 특히 도박 관련 범죄조직 등에게 디도스 공격을 임대해 금품을 요구하는 범죄 수익화 모델이 사용된 것이 특징이다.

수사진은 래퍼봇을 일종의 범죄형 ‘디도스 임대 서비스(DDoS-for-hire)’로 규정했다. 감염된 디바이스 수는 최대 9만 5,000대에 달했으며, 하루 평균 수백 건의 공격이 발생했다. 이 봇넷은 총 트래픽 전송량이 최대 6테라비트/초(Tbps)에 달해, 지금까지 기록된 가장 강력한 디도스 공격 중 하나로 손꼽힌다.

래퍼봇의 공격 대상에는 일반 기업뿐 아니라 미국 정부 시스템도 포함됐다. 지난 3월 10일에는 소셜미디어 X(구 트위터)가 대규모 공격을 받아 수시간 동안 서비스 중단을 겪었다. 당시 ‘다크스톰 팀(Dark Storm Team)’이라는 친팔레스타인 성향의 해커 집단이 공격 배후를 자처하기도 했다.

보안 전문가들은 래퍼봇의 실체를 이미 2022년부터 추적해 왔다. 당시에도 이 봇넷은 소비자용 IoT 기기의 기본 설정값이나 취약한 암호를 악용해 빠르게 확산되고 있었다. 미국 국방 범죄수사국(DCIS)과 민간 협력기관이 수년간 공조한 끝에 폴츠의 신원을 특정하고 관련 망을 해체하는 데 성공한 것으로 알려졌다.

알래스카주 연방검사 마이클 J. 헤이먼(Michael J. Heyman)은 성명을 통해 “래퍼봇은 가장 강력한 수준의 디도스 봇넷 중 하나로, 이를 해체한 것은 국내외 수사기관과 기술 파트너들의 공조가 이룬 성과”라며 “범죄자 폴츠는 이로써 국제 범죄 네트워크의 운영에서 퇴출됐다”고 밝혔다.

한편, 폴츠는 '컴퓨터 침해 방조 혐의'로 기소됐으며, 유죄 판결 시 최대 징역 10년형을 받을 수 있다. 이번 사건은 IoT 기기가 사이버 공격 도구로 얼마나 쉽게 악용될 수 있는지를 보여주는 경고 신호로, 보안 분야의 관심이 다시 한번 집중되고 있다.