불필요한 공유 폴더 삭제 및 난해한 비밀번호 사용 필수!

한국정보보호진흥원 침해사고 월보 허니넷 분석 자료에 따르면, KISA 및 2개 기관과 업체에서 바이러스 월 등을 통해 수집된 웜ㆍ바이러스 전체 수집건수 가운데 가장 많은 탐지건수를 나타낸 것은 DOWNLOADER로 밝혀졌다.

DOWNLOADER의 경우 백신업체에 따라 명칭은 다르지만 대부분 웹 사이트를 통해 감염되는 트로이잔 종류로 감염 시 추가적으로 악성코드를 다운로드 받는 특징이 있어 주의해야 한다.

한편, 9월 전 세계 Bot 감염추정 PC 중에서 국내 감염 PC 비율은 13.1%로 8월과 같은 수준으로 나타났다. 9월에도 TCP/139, TCP/135 포트에 대한 감염시도 트래픽이 다수를 이루었다. 

KISA 관계자는 “9월 들어 파악된 악성 봇 명령/제어 서버로 이용되는 40여개의 새로운 도메인네임을 추가하고, 최적화해 총 2,400여개 도메인네임에 대한 DNS 싱크홀을 적용했다”고 밝혔다.

‘DNS 싱크홀’이란 봇-넷 관리 서버의 도메인명에 실제 IP 주소가 아닌 특정 IP를 부여함으로써 좀비 PC가 실제 봇-넷 관리 서버에 연결되는 것을 차단하는 역할을 한다.

봇의 전파에 사용되는 주요 포트는 NetBIOS 관련 포트인 445, 139, 135와 웹 관련 80 포트, MS-SQL 관련 포트인 1433 등으로, 8월 Top5를 차지한 포트들이 그대로 주요 포트로 사용되고 있는 것으로 드러났다. (8월 악성 봇 사용 Top 5 포트: 445, 139, 80, 135, 1433)

한편, 국내 봇 감염 추정 PC가 봇 전파에 사용하는 주요 포트는 139, 135, 80, 445, 1433 포트 순으로 나타났다.

악성 봇에 감염되면, 감염된 컴퓨터의 개인 정보가 유출되고, 불법 프로그램 유포, 불법 프록시 서버, 스팸전달, 특정 사이트 거부공격 등에 활용될 수 있다. 또 감염된 PC가 위치한 네트워크에 트래픽 유발을 일으켜 네트워크 과부하 혹은 다운 현상이 발생하기도 한다. 보안이 취약한 네트워크 장비를 이용해 악성 봇 파일을 전파하고 업데이트 저장소로 이용되기도 하고 시스템이 느려지거나 CPU를 100% 사용하는 경우도 있다. 

KISA 관계자에 따르면 “악성 봇 예방책은 시스템 운영체제의 패치 및 보안관리를 철저히 해야 한다. 불필요한 공유 폴더를 삭제해야 하고 추측이 어려운 비밀번호 사용 및 최신 백신 프로그램 업데이트를 지속적으로 실시해야 한다”고 덧붙였다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>