Zeus 트로이 목마 악성코드(Zbot)란 무엇인가?

Zeus 트로이 목마 악성코드란 무엇인가?

정상적인 웹사이트처럼 보이는 곳에 은행 비밀번호를 입력하면, Zeus는 SSL/TLS 보호로 서버로 전송되기 전에 애플리케이션 계층에서 브라우저로부터 해당 데이터를 직접 탈취합니다. Zeus는 암호화가 이루어지기 전에 브라우저 수준에서 자격 증명을 가로채는 뱅킹 트로이 목마로서 금융 사이버 범죄의 기본 아키텍처를 구축했습니다. 미국 법무부에 따르면, Zeus 작전은 단일 사이버 범죄 조직에서 기소된 사건만으로 300만 달러를 탈취했습니다.

이 악성코드는 2007년에 등장하여 현대 뱅킹 트로이 목마가 여전히 사용하는 아키텍처를 확립했습니다. FBI는 GameOver Zeus만으로도 2014년 법 집행기관이 봇넷을 차단하기 전까지 2009년 미국 내 360만 대의 PC를 감염시켰다고 기록했습니다. Zeus는 CIS 2025년 1분기 Top 10 Malware 보고서에는 없지만, 그 기술적 DNA는 현재 위협에 여전히 남아 있습니다. 여러분은 Zeus에서 파생된 뱅킹 트로이 목마와 싸우고 있으며, 이들은 선구적인 브라우저 내 공격 및 모듈형 아키텍처 전략을 계승했습니다.

Zeus 트로이 목마의 차별점

Zeus는 애플리케이션 계층에서 데이터를 가로채는 브라우저 내 공격(MitB)을 개척했습니다. 키로거가 단순히 키 입력을 기록하는 반면, Zeus는 웹 트래픽을 실시간으로 수정합니다. 은행 웹사이트를 로드할 때, Zeus는 사용자가 페이지를 보기 전에 악성 코드를 직접 삽입합니다. 인터페이스는 정상 사이트와 동일하게 보이는데, 실제로 정상 사이트 위에 Zeus의 코드가 보이지 않게 덧씌워져 있기 때문입니다.

Zeus가 시스템에서 동작할 때, 암호화가 이루어지기 전에 브라우저 내에서 폼 데이터를 가로채고 탈취합니다. SSL 인증서는 정상적으로 녹색으로 표시되고, 암호화 연결도 안전하게 유지됩니다. 그러나 Zeus는 브라우저가 암호화를 시작하기 전에 애플리케이션 계층에서 입력한 모든 자격 증명을 수집합니다.

Zeus 트로이 목마 변종 및 악성코드 계열

여러 세대에 걸친 Zeus 파생 뱅킹 트로이 목마가 존재합니다.

1세대 (2007-2011):

• Zeus (2007): 브라우저 내 공격 및 폼 탈취 아키텍처 확립
• GameOver Zeus (2011): CISA에 따르면 P2P 변종이 중앙 집중식 C2 서버를 제거하여 차단이 훨씬 어려워짐
• Citadel (2011): 범죄자 맞춤형 "오픈소스" 뱅킹 트로이 목마로 등장
• Zeus Mobile (Zitmo): 모바일 플랫폼으로 확장되어 2차 인증 코드 탈취

후속 변종 (2014-2016):

• Dridex (2014): 스팸 캠페인을 통해 유포
• Dyre (2014): HTTPS 우회 기능 탑재
• Trickbot (2016): 온라인 구성 및 모듈형 아키텍처를 갖춘 Dyre 변종

Netskope의 2025 Cloud and Threat Report에 따르면, Zusy(TinyBanker)와 같은 Zeus 파생 악성코드는 여전히 활동 중이며, Zeus가 개척한 코드 삽입 기법을 통해 뱅킹 자격 증명을 지속적으로 노리고 있습니다.

Zeus 트로이 목마와 사이버 보안의 관계

시그니처 기반 탐지는 Zeus의 회피 기법, 특히 버전 1.4의 다형성 암호화로 인해 각 감염이 고유하게 만들어져 전통적인 백신 시그니처로는 충분하지 않습니다. 보안팀은 행위 기반 AI 탐지 및 다계층 방어 전략을 구현해야 진화하는 위협에 대응할 수 있습니다.

이러한 사이버 보안 함의를 이해하면 방어 체계를 구축할 수 있지만, 조직 피해를 정량화하면 Zeus 파생 위협에 우선순위를 둬야 하는 이유가 명확해집니다.

Zeus 악성코드가 조직에 미치는 영향

Zeus에 의해 조직이 침해되면 초기 감염을 넘어 연쇄적인 영향이 발생합니다. 이 악성코드는 브라우저 내 공격을 통해 뱅킹 자격 증명을 탈취하고, 기업 이메일 자격 증명을 수집해 비즈니스 이메일 침해를 가능하게 하며, VPN 자격 증명도 탈취합니다. IOActive의 기술 분석에 따르면, Zeus는 \windows\system32\lowsec\에 암호화된 실행 파일이 포함된 숨김 파일을 생성하여 탐지를 회피합니다.

침해 대응 비용이 증가합니다. 미국 통화감독청에 따르면, 금융 기관은 중대한 컴퓨터 보안 사고 발생 시 연방 은행 규제 기관에 신속하게 통보해야 합니다.

자격 증명 탈취는 악성코드 감염 이후에도 지속되는 신원 침해 문제를 야기합니다. SpyCloud의 침해 대응 가이드에 따르면, 악성코드만 제거해도 탈취된 자격 증명은 공격자가 계속 사용할 수 있어,  랜섬웨어 배포나 탐지 및 제거 후 수주간 지속적인 접근이 가능합니다.

이러한 영향을 효과적으로 방어하려면 Zeus가 초기 감염부터 자격 증명 탈취까지 공격 체인을 어떻게 실행하는지 정확히 이해해야 합니다.

Zeus 트로이 목마 악성코드의 동작 방식

Zeus는 드라이브 바이 다운로드를 유포하는 익스플로잇 킷, 악성 첨부파일이 포함된 피싱 캠페인, 악성코드를 제공하는 정상 웹사이트를 통해 엔드포인트에 도달합니다. 실행이 시작되면, Cisco Talos Intelligence는 빠른 권한 상승 패턴을 문서화했습니다.

감염 후 타임라인:

• 밀리초: C2 서버로 HTTP GET 요청
• 밀리초~초: 이진 구성 블롭 다운로드(C2 응답)
• 초: 구성 파일이 시스템에 배포됨
• 초: 악성코드가 쌍을 이루는 HTTP POST 요청으로 등록
• 지속적: 키로깅, 폼 탈취, 웹 인젝션을 통한 자격 증명 수집

드로퍼는 메모리 위치 0x00b70000에 PAGE_EXECUTE_READWRITE 보호로 메인 Zeus 봇을 언팩합니다. 코어 봇은 Windows 시스템 디렉터리에 영속성을 확보하고, 키 입력 저장, 구성 데이터, 암호화된 봇 실행 파일을 위한 숨김 파일을 생성합니다. IOActive의 기술 분석에 따르면, Zeus는 파일 시스템 검사 시 디스크의 파일을 숨기기 위해 NtQueryDirectoryFile API 함수를 후킹합니다.

이러한 빠른 공격 진행은 Zeus의 모듈형 아키텍처에 기반하며, 범죄자가 감염 시스템을 재감염하지 않고도 개별 기능을 업데이트할 수 있게 합니다.

Zeus 악성코드의 핵심 구성 요소

각 구성 요소를 이해하면 공격 체인 전반에서 탐지 기회를 식별할 수 있습니다.

• 숨김 파일 시스템: Zeus는 \windows\system32\lowsec\에서 키 입력 저장(user.ds), 구성(local.ds), 암호화된 봇 실행 파일을 위한 숨김 파일로 동작합니다. Zeus는 NtQueryDirectoryFile을 후킹하여 표준 탐지 도구에서 이 파일들을 숨깁니다.
• 명령 및 제어 인프라: 기존 Zeus는 HTTP GET/POST를 통한 중앙 집중식 C2로 구성 및 탈취를 수행했습니다. GameOver Zeus는 감염 시스템 간 직접 통신하는 P2P 아키텍처로 이 약점을 제거하여, CISA에 따르면 차단이 훨씬 어려워졌습니다.
• 브라우저 인젝션 모듈: Zeus는 Firefox, Chrome, IE 등 브라우저별 모듈을 유지하여 암호화 전에 폼 데이터를 수집하고, 뱅킹 페이지에 악성 콘텐츠를 삽입합니다. 구성 파일 업데이트만으로 새로운 은행을 타깃팅할 수 있어, 감염 시스템을 재감염할 필요가 없습니다.

이러한 아키텍처 구성 요소는 Zeus의 핵심 공격 능력을 가능하게 하며, 사용자의 뱅킹 자격 증명과 금융 데이터를 직접적으로 침해합니다.

Zeus 악성코드의 주요 기능

• 폼 탈취: 악성코드는 사용자가 웹 폼을 작성할 때 애플리케이션 계층에서 데이터를 가로챕니다. 사용자 이름을 입력하면, Zeus는 브라우저가 암호화하기 전에 해당 데이터를 탈취합니다. 이는 Zeus가 암호화 프로세스 이전 단계에서 동작하기 때문에 웹사이트 보안 구현과 무관하게 발생합니다.
• 웹 인젝션: Zeus는 정상적인 뱅킹 웹사이트에 악성 JavaScript 및 HTML을 실시간으로 삽입합니다. 은행이 요구하지 않는 추가 입력 필드가 표시됩니다. 이 삽입된 필드는 은행의 스타일을 정밀하게 모방하여 정상 인터페이스와 동일하게 보입니다.
• 키로깅: 폼 탈취가 실패할 경우를 대비해 전체 키 입력을 캡처하여 자격 증명 수집을 보완합니다. Zeus는 커널 수준 후킹을 통해 모든 키 입력을 기록하고, 추가 맥락을 위해 스크린샷과 함께 숨김 user.ds 파일에 저장합니다.
• 자격 증명 탈취: Zeus는 탈취한 자격 증명을 패키징하여 HTTP POST 요청을 통해 C2 인프라로 전송합니다. Cisco Talos Intelligence에 따르면, 악성코드의 POST 요청은 동일한 파일명을 사용하여 운영자가 세션을 연관시키고 사용자 프로필을 재구성할 수 있게 합니다.

이러한 기능으로 인해 Zeus가 설치되면 치명적인 피해가 발생하므로, 전파 방식을 이해하여 자격 증명 탈취가 시작되기 전에 감염을 차단하는 것이 중요합니다.

Zeus 트로이 목마의 전파 방식

Zeus 전파는 자동화된 웜 동작이 아니라 사회공학에 의존합니다.

• 피싱 캠페인: CISA의 2010년 3월 Zeus 경보는 FBI, IRS, 주요 금융기관을 사칭한 대규모 피싱 캠페인을 문서화했습니다. 사회공학은 긴급성을 이용해 수신자가 합법성을 평가하기 전에 클릭하도록 유도했습니다.
• 익스플로잇 킷: Zeus 운영자는 익스플로잇 킷 인프라를 통해 브라우저 취약점 자동 공격으로 악성코드를 배포했습니다. 사용자가 감염된 웹사이트를 방문하면, 익스플로잇 킷이 브라우저를 프로파일링하고 패치되지 않은 취약점을 노리는 익스플로잇을 전달했습니다.
• 감염된 정상 웹사이트: Zeus 전파는 명백히 악성인 인프라가 아닌 신뢰받는 웹사이트를 자주 활용했습니다. 사용자는 익숙한 도메인을 방문했고, 의심할 이유가 없는 사이트에서 Zeus에 감염되었습니다.
• 2차 페이로드 배포: GameOver Zeus 작전은 자격 증명 탈취와 함께 CryptoLocker 랜섬웨어도 배포했습니다. Zeus를 제거할 때 추가적인 지속 위협이 있는지 조사해야 합니다.

이러한 경로를 통해 Zeus가 환경에 침투하면, 자격 증명 탈취가 완료되기 전에 활성 감염을 탐지할 수 있는 신뢰할 수 있는 지표가 필요합니다.

Zbot 감염의 침해 지표(IOCs)

Zeus의 다형성 암호화로 인해 각 감염이 고유하므로, 행위 기반 탐지와 네트워크 기반 지표가 필요합니다.

1. 네트워크 행위 패턴: Cisco Talos Intelligence에 따르면, Zeus는 독특한 트래픽 패턴을 보입니다. HTTP GET 요청이 Content-Type application/octet-stream의 이진 구성 블롭을 받고, 즉시 쌍을 이루는 HTTP POST 요청으로 등록을 완료합니다.
2. 메모리 포렌식 아티팩트: Volatility 프레임워크를 사용할 때, Zeus가 메인 봇 이미지를 언팩하는 위치인 0x00b70000에서 PAGE_EXECUTE_READWRITE 보호의 프라이빗 메모리 영역을 확인합니다.
3. MITRE ATT&CK 매핑 행위: cmd /c systeminfo 명령(T1082)을 통한 시스템 정보 수집, 영속성 확보 및 은폐를 위한 레지스트리 수정과 API 후킹, 키로깅 및 폼 탈취, 프로세스 인젝션 및 메모리 기반 실행, HTTP 비콘 패턴을 모니터링합니다.
4. 탐지 원칙: Zeus는 개별적으로 의심스러운 여러 행위를 조정된 패턴으로 나타내므로, 이러한 지표를 상호 연관해야 합니다. 악성 행위에 초점을 맞춘 행위 기반 탐지가 Zeus의 다형성 변종에 대해 시그니처 기반 탐지보다 효과적입니다.
5. 검증된 샘플 해시: ANY.RUN 및 MalwareBazaar는 Zeus 샘플 저장소를 유지합니다. SHA-256 해시 18022d8613b4c36e502f9962ce27d4bb9f099d5659d44f82683b63f704873dcf는 감염 특성이 관찰된 Zeus 변종을 나타냅니다. 그러나 해시 기반 탐지는 다형성 변종이 감염마다 새로운 해시를 생성하므로 시점별 가치만 제공합니다.

무엇을 찾아야 하는지 아는 것만으로는 충분하지 않습니다. 이러한 IOC를 실질적인 탐지로 전환하려면 적절한 도구와 방법론이 필요합니다.

Zeus 트로이 목마 악성코드 탐지 방법

여러 회피 기법으로 인해 시그니처 기반 탐지는 Zeus에 효과적이지 않습니다. Secureworks에 따르면, Zeus 1.4 버전은 다형성 암호화를 도입하여 각 감염을 고유하게 만듭니다.

• 행위 분석 요구사항: 커널 프로세스 동작 및 메모리 사용 패턴을 모니터링하는  엔드포인트 탐지를 배포합니다. Zeus는 변종에 관계없이 지속되는 특정 행위를 보입니다. 은폐를 위한 API 후킹, 실행을 위한 메모리 인젝션, 뱅킹 자격 증명 탈취를 위한 폼 탈취, 키로깅 등이 있습니다. SentinelOne의  Behavioral AI Engine은 커널 수준 프로세스 동작을 모니터링하여 다형성 암호화와 무관하게 Zeus 변종을 탐지합니다.
• 네트워크 트래픽 분석: C2 인프라로의 네트워크 비콘 행위는 신뢰할 수 있는 탐지 방법입니다. Zeus는 구성 수신 및 자격 증명 탈취를 위해 외부 서버와 통신해야 합니다.  위협 인텔리전스 기능은 트래픽 패턴 분석을 통해 Zeus C2 통신을 탐지할 수 있습니다.
• 엔드포인트 탐지 및 대응:  XDR은 프로세스 인젝션, DLL 로딩, API 후킹 행위에 대한 가시성을 제공해야 합니다.

탐지로 Zeus 존재가 확인되면, 자격 증명 노출을 최소화하기 위해 신속하고 철저한 제거가 중요합니다.

시스템에서 Zeus 악성코드 제거 방법

Zeus 제거는 악성코드 박멸과 동시에 자격 증명 전체 재설정이 필요합니다. 악성코드 자체만 제거해도 탈취된 자격 증명은 여전히 유효하기 때문입니다.

• 즉각적 격리: 제거를 시작하기 전에 감염된 시스템을 네트워크에서 분리합니다. DNS 및 방화벽 경계에서 Zeus C2 도메인을 차단합니다.
• 포렌식 보존: 시스템 종료 전 메모리 덤프를 수집합니다. Volatility 프레임워크로 프로세스 인젝션 지표를 분석합니다.
• 악성코드 박멸: Zeus의 회피 기법을 탐지하기 위해 커널 수준 행위 모니터링이 가능한 EDR 솔루션을 배포합니다. SentinelOne의 자율 대응 기능은 Zeus 감염을 머신 속도로 복구하며,  Ransomware Rollback으로 공격 전 상태로 시스템을 복원합니다.
• 신원 복구: 감염된 기기에서 접근한 모든 애플리케이션의 비밀번호를 재설정합니다. 모든 웹 세션 및 인증 토큰을 무효화합니다.
• 검증 및 모니터링: 여러 스캔 방법으로 악성코드 완전 제거를 확인합니다. 재감염 지표를 위해 30일 이상 영향을 받은 시스템을 모니터링합니다.

사후 제거는 즉각적 감염에 대응하지만, Zeus가 최초 진입하지 못하도록 예방하는 것이 훨씬 더 큰 보안 가치를 제공합니다.

Zeus 트로이 목마 공격 예방을 위한 모범 사례

Zeus 예방은 단일 통제로 뱅킹 트로이 목마를 신뢰성 있게 차단할 수 없으므로, 다계층 방어 아키텍처가 필요합니다.

• 네트워크 분할: 워크스테이션이 민감한 데이터가 저장된 서버에 직접 접근하지 못하도록 네트워크를 분할합니다.
• 제로 트러스트 아키텍처: NIST SP 800-207  제로 트러스트 아키텍처 원칙을 적용하여 네트워크 위치와 무관하게 모든 접근 요청을 신뢰하지 않습니다.
• 세션 모니터링이 포함된 다중 인증: MFA는 계정 접근 전 두 가지 이상의 인증을 요구하여 보호를 제공합니다. 그러나 Zeus는 브라우저 내 공격 기법으로 세션 기반 인증을 우회할 수 있으므로, MFA만으로는 충분하지 않습니다.
• 행위 기반 탐지 시스템: 시그니처 기반 방법을 넘어선 엔드포인트 보호를 배포합니다. Zeus는 코드 시그니처와 무관하게 특정 행위 패턴을 보이므로, 행위 기반 시스템이 이를 탐지할 수 있습니다.
• 지속적 모니터링 인프라: 자격 증명 탈취가 발생하기 전에 Zeus C2 패턴을 지속적으로 모니터링합니다. SentinelOne의  Purple AI는 자연어를 활용해 위협 조사를 간소화하고, AI 기반 분석, 자동 요약, 위협 헌팅을 위한 추천 쿼리로 SecOps를 가속화합니다.
• 규제 준수: 금융 기관은 CIRCIA에 따라 사고를 보고하고, NIST 사이버 보안 프레임워크 통제를 구현해야 합니다.

이러한 모범 사례를 구현하면 강력한 방어 기반을 마련할 수 있지만, 현대 뱅킹 트로이 목마에는 그에 상응하는 최신 탐지 및 대응 역량이 필요합니다.

SentinelOne으로 Zeus 트로이 목마 위협 차단

Zeus 변종을 탐지하고 차단하려면 코드 난독화와 무관하게 커널 프로세스 동작 및 메모리 사용 패턴을 모니터링해야 합니다. SentinelOne의 Behavioral AI Engine은 프로세스와 파일의 행위를 관찰하여 코드 시그니처가 아닌 행위로 Zeus를 탐지합니다. 플랫폼은 포렌식 세부 정보를 Singularity Data Lake에 자동 기록합니다.

SentinelOne의  Singularity Platform은 자율 대응 기능을 제공하여 대규모 자격 증명 탈취가 발생하기 전에 위협을 탐지하고 차단합니다. 여러 AI 기반 탐지 엔진이 협력하여 런타임 공격에 대한 머신 속도 보호를 제공하며, 악성 프로세스 활동 패턴을 식별하는 행위 분석을 포함합니다.

• 행위 기반 위협 탐지: SentinelOne의 Static AI Engine은 5억 개 이상의 악성코드 샘플로 학습되어 파일 구조의 악성 특성을 검사하고, Behavioral AI Engine은 실시간으로 악의적 의도와 행위를 평가하여 인간 개입 없이 탐지합니다.
• 자율 대응 및 롤백: SentinelOne의 Singularity Platform은 인간 개입 없이 엔드포인트를 머신 속도로 복구합니다. Ransomware Rollback을 통해 조직은 공격 전 상태로 데이터를 복원할 수 있습니다.
• Storyline 포렌식 조사: SentinelOne의 특허  Storyline 기술은 엔터프라이즈 환경 전반의 이벤트 데이터를 자동으로 모니터링, 추적, 맥락화하여 실시간으로 공격을 재구성하고, 수동 분석 없이 관련 이벤트를 상관 분석합니다.
• Purple AI 기반 조사 가속화:  Purple AI는 자연어를 활용해 위협 조사를 간소화하고, AI 기반 분석 및 실행 가능한 인사이트를 제공합니다. 자동 요약 및 추천 쿼리로 SecOps의 위협 헌팅 속도를 높입니다.

SentinelOne은 행위 기반 AI 탐지로 Zeus 변종을 자율적으로 차단합니다.  SentinelOne 데모 요청을 통해 직접 경험해 보십시오.

핵심 요약

Zeus는 브라우저 수준 자격 증명 가로채기를 현대 뱅킹 위협의 주요 기법으로 정립했습니다. Zeus의 다형성 암호화는 전통적인 백신을 무력화하므로, 코드 시그니처와 무관하게 악성 행위를 식별하는 행위 기반 탐지 시스템을 배포해야 합니다. 

Zeus가 시스템을 침해하면 악성코드 제거만으로는 문제가 절반만 해결됩니다. 완전한 복구를 위해서는 감염된 모든 애플리케이션의 자격 증명을 즉시 재설정해야 합니다. 행위 기반 AI, 제로 트러스트 아키텍처, 신원 중심 침해 대응을 결합한 다계층 방어로 Zeus 파생 위협을 차단하십시오.