언론사, 파일공유, 커뮤니티 사이트 등에서 악성코드 다시 활개

[보안뉴스 권 준] 최근 인터넷 환경에서 디도스 공격을 수행할 수 있는 봇 에이전트와 다운로더의 수치가 우려할만한 수준으로 증가하고 있는 것으로 나타났다.

이는 빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스인 11월 1주차 인터넷환경 위협분석 보고서에 따른 것으로, 10월 4주차와 비교하면 발생빈도로는 유사한 수치의 신규 악성링크가 탐지됐으나 악성코드 유형이 매우 달랐고, 위험성이 더 높은 것으로 알려졌다.

빛스캔에 따르면 현재 최소 300여 곳 이상의 웹 서비스들에서 악성코드 감염 시도가 발견됐고, 거의 대부분 현재 관리·운영되고 있는 사이트인 것으로 조사됐다. 특히, 11월 1주차의 경우 오랜 기간 활동하지 않았던 다단계 유포망 맬웨어넷(MalwareNet)들과 언론사, 파일공유, 커뮤니티 사이트들이 악성코드 감염 시에 직접 활용된 것으로 드러났다. 

11월 1주에 주로 유포된 봇 에이전트 유형은 디도스 공격을 수행할 수 있는 유형, 키로거 정보유출형, 그리고 화면정보 유출형 등 크게 세 가지로 구분되는 것으로 나타났다. 

우선 키로거 정보유출형 봇 에이전트는 실시간으로 입력되는 키보드의 정보를 유출하는 악성코드로 악성코드 감염 PC를 사용하는 사용자의 개인정보, 신용카드 및 금융기관 비밀번호 등 다양한 정보를 유출시킬 수 있다.

또한, 화면정보 유출형 봇 에이전트는 사용자 화면에 표시되는 정보를 유출하는 기능을 지니고 있다. 특히, 이번에 발견된 화면정보 유출형 봇 에이전트는 특정 온라인 도박게임 혹은 온라인 게임에 접속할 경우 추가적인 악성코드를 다운로드하고 해당 화면 정보를 유출하는 기능을 지니고 있었다고 빛스캔 측은 밝혔다.

이 외에 기존에 발생하던 디도스 공격형 봇 에이전트도 5건이 발생해 기존 발생량보다 훨씬 증가한 양상을 보이고 있는 것으로 알려졌다.

이와 관련 빛스캔 전상훈 이사는 “현재 봇넷 에이전트 및 다운로더 기능을 갖춘 악성코드들 다수가 예의 주시하고 있는 맬웨어넷을 통해 대규모로 유포된 정황이 있어 위험수준이 매우 높은 상태”라며, “지금 이 시점에도 제로보드 버전에 대한 공격을 통한 악성링크 추가와 맬웨어넷을 활용하는 신규 유형이 계속 발견되고 있는데, 모두 원격 통제가 가능한 에이전트 및 C&C 서버와 통신을 하는 악성코드 유형”이라고 우려했다.

덧붙여 그는 “현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들도 변화된 형태를 보이고 있고, 외부 도메인 연결과 업데이트를 통해 다른 형태로 계속 전환되고 있다”며, “특히, 11월 1주차에 많이 발견된 세 가지 봇넷 에이전트 유형에 대해서는 강력한 대책을 강구해야 한다”고 주문했다.

한편, 빛스캔의 PCDS(Pre Crime Detect System)를 통해 탐지 및 분석되는 정보들은 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관장소, 악성파일 변화 추이, 봇넷 구축을 위해 감염 이후 연결을 시도하는 C&C 서버 정보들로, 각 부분별로 발전적인 협력을 원할 경우 이메일(info@bitscan.co.kr)로 문의하면 된다. 

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>