개인정보 유출 위험 높아져...Qakbot에 감염된 PC 수 20만대 이상

[보안뉴스 호애진] 새로운 형태의 악성 봇이 웜과 같은 형태로 전파되고 있으며 이에 감염된 PC의 수가 급증하고 있는 것으로 나타났다.

웜(worm)은 보통 웹사이트를 이용해 특정 취약점을 공격, 사용자를 감염시키며 그 결과 추가적인 악성 파일을 다운로드해 설치함으로써 개인 정보를 훔치거나 서버에 뒷문, 즉 백도어를 설치해 나중에 공격할 수 있는 발판을 마련한다. 반면 봇(Bot)은 공격자의 의도, 즉 명령에 따라 행동하는 것으로 웜과 큰 차이를 보인다.

시만텍은 최근 4월초부터 5월초까지 조사한 보고서를 인용, 웜과 같은 형태로 전파되고 있는 악성 봇, Qakbot에 감염된 PC의 수가 20만대 이상으로 크게 증가했다고 밝혔다.

Qakbot은 온라인 뱅킹을 이용하는 사용자의 정보 및 기타 금융 정보를 훔치는 것을 주 목적으로 한다. 이 봇은 USB 메모리 스틱과 같은 이동형 매체뿐만 아니라 SMB 드라이브(네트워크 공유 폴더)로 전파되며 특히 웜과 같이 웹페이지를 통해서 PC를 감염시킨다.

또한 이 봇은 사용자의 키 입력값, 인증서, FTP 계정 정보 및 메일 계정(POP3) 비밀번호를 훔치며, 웹서버의 FTP 계정을 알아낸 경우에는 웹페이지에 악성 태그를 삽입시켜 감염시킨다. 악성코드를 제어하는 프로그램에서는 SOCKS 서버를 설치하고 감염된 컴퓨터에 연결해 온라인 뱅킹 세션 토큰을 훔치는데 사용된다.

이 외에도 Qakbot은 관련된 파일을 숨기기 위해 루트킷 기술을 이용하고 그 결과 프로세스와 네트워크 연결까지도 숨기는 특징을 갖고 있다.

시만텍의 버크램 타쿠르(Vikram Thakur) 수석 매니저는 “봇의 활동은 3개월에서 6개월마다 폭증하긴 하지만 감염된 PC가 5만대를 넘는 일은 극히 드물다”며 “이 봇이 아직 개발 단계에 있고 지난 몇 년에 걸쳐 계속 진화해 왔다는 것을 감안하면 이는 분명히 눈 여겨봐야 할 보안 위협”이라고 설명했다.

 * SOCKS 서버: 기업의 방화벽 내부에 있는 클라이언트로부터 요청된 일들을 처리, 요구된 인터넷의 목적지나 사용자 신분에 따라 접속 요구를 허용 또는 거부하는 역할을 함.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>