전 세계 악성 봇 감염 PC 100대 중 17대가 한국 PC

전 세계 악성 봇 감염추정 PC중 국내 감염 PC 비율이 16.9%에 달하고 있다. 9월에 비해 3.8% 증가한 수치다. 전 세계 봇 감염 추정 PC는 9월에 일평균 6만여대에서 10월에는 5만여대로 16% 감소했지만, 국내 사정은 오히려 9% 증가해 봇 감염율이 4%가량 늘어난 것이다.

한국정보보호진흥원(KISA)은 월보에서 “국내의 경우 TCP/139, 80, 135 포트에 대한 감염시도 트래픽이 많았다. 허니넷에 유입된 웜들을 분석한 결과 주로 Mybot, Sdbot 등이 국내에서 활발한 활동을 하고 있었고, 2003년에 출현했던 DLLHOST.exe가 TCP/80, 135 포트를 이용해 계속적인 전파활동을 하고 있는 것으로 파악됐다”고 설명했다.

봇의 전파에 사용된 주요 포트는 NetBIOS 관련 포트인 445, 139, 135와 웹 관련 80포트, MS-SQL 관련 포트인 1433 등으로 지난달 Top5를 차지한 포트들이 그대로 주요 포트로 사용되고 있다.

 

국내 봇 감폄 추정 PC가 봇 전파에 사용하는 주요 포트는 139, 80, 135, 1433, 445 포트 순으로 나타났다.

악성 봇의 주요 특징으로는 운영 체제 취약점과 비밀번호 취약성, 웜ㆍ바이러스의 백도어 이용 등을 통해 전파되고, 일반적으로 IRC 접속을 위해 사용되는 포트대신 임의의 포트를 사용하므로 탐지가 어렵고, 암호화 기능 추가로 인해 관련 트래픽 모니터링이 어렵다는 것이 특징이다. 도 보안프로그램이나 백신을 강제 종료하거나 백신의 업데이트를 차단해 진단이 어렵게 된다.

이러한 악성 봇에 감염되면, 감염된 PC의 개인정보가 유출되고, 불법 프로그램 유포와 불법 Proxy 서버, 스팸전달, 특정 사이트 거부공격 등으로 활용될 수 있다. 또 네트워크 과부하와 다운 현상이 발생할 수 있으며, 보안이 취약한 네트워크는 악성 봇 파일 전파와 업데이트 저장소로 이용되기도 한다.

KISA 관계자는 “악성 봇을 예방하기 위해서는 시스템 운영체제의 패치 및 보안관리를 철저히 해야 하고 불필요한 공유폴더를 삭제해야 한다. 그리고 추측하기 어려운 비밀번호를 사용하고 최신 백신 프로그램을 업데이트 하는 등의 노력이 필요하다”고 강조했다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>