모바일 환경의 악성 봇, 디도스와 스팸 공격에 집중하지 않아
경쟁사 제품 가격 바꾸거나, 프리미엄 제품 포인트 노리는 공격 많아

[보안뉴스 문가용 기자] 봇넷은 서버와 엔드포인트에 있는 여러 틈새들 속에 서식한다. 그리고 최근 들어 이들이 가장 많이 숨기 시작한 곳은 사용자들의 손바닥 안이다. 최근 발표된 악성 봇 관련 보고서에 따르면 말이다.


이 보고서의 이름은 “모바일 봇 : 악성 봇의 다음 단계(Mobile Bots : The Next Evolution of Bad Bots)”이다. 보안 업체 디스틸 네트웍스(Distill Networks)가 여섯 개의 메이저급 통신사들의 모바일 장비 1억 대를 45일 동안 분석한 후 집필한 것이다.

디스틸의 분석에 의하면 약 5.8%의 장비들에서 웹사이트 및 앱을 공격하는 봇이 호스팅되어 있었다. 이는 약 580만 대에 이르는 숫자다. 이 장비들의 주인은 그러한 사실을 전혀 모르고 있었다.

“580만 대가 봇넷에 소속된 채 있었다는 건 충격적인 결과였습니다.” 디스틸 네트웍스의 수석 제품 디렉터인 에드워드 로버츠(Edward Roberts)의 설명이다. “이 숫자가 너무 놀라워서 디스틸에서 샘플링을 다시 한 번 했는데, 비슷한 결과가 다시 한 번 나왔습니다. 또한 17개의 네트워크 요청 중 하나는 악성 봇에 의한 것이라는 것도 알아냈습니다.”

봇이 모바일로 많이 옮겨가고 있다는 것만이 변화의 전부가 아니다. 봇을 사용하는 방법에서도 적잖은 변화가 생기고 있다. 원래 봇넷의 가장 주요한 사용처는 디도스 공격이었다. 그 다음이 스팸 캠페인이었다. 그런데 모바일 봇넷은 조금 다른 공격에 사용되고 있다고 디스틸 네트웍스 측은 설명한다.

“간단히 말하자면 경제를 겨냥한 공격이 이뤄지고 있습니다. 무슨 말이냐면 봇들이 반복적으로 물품 판매 사이트에서 가격을 고쳐요. 그래서 판매를 하고도 피해를 보거나, 가격이 이상해진 틈에 경쟁사가 가격을 유리하게 가져가는 것이죠.” 이는 수많은 공격 사례 중 하나다.

또 다른 사례에서는 모바일 봇들이 상표 충성도와 관련된 사이트를 뒤지고 있었다. 프리미엄 제품이나 프리미엄 포인트를 가져가려 로그인 정보를 찾기 위함이었다. 봇넷의 주인은 값비싼 제품을 공짜로 혹은 아주 저렴하게 살 수 있게 된다.

이런 공격의 특징은, 기존 봇에 감염된 장비들이 일으키는 트래픽보다 그 양이 훨씬 적다는 것이다. “하루에 평균 50개 정도의 요청만을 발신할 뿐입니다. 트래픽 볼륨이 상당히 낮죠. 활동량은 적고, 속도도 그리 높지 않으며, 고도로 표적화된 공격이 모바일 봇넷의 특징입니다.”

하지만 한 가지 변하지 않는 것이 있는데, 그것은 장비가 최초로 감염되는 방식이다. “지난 과거 동안 숱하게 증명되어 온 감염 방식들을 공격자들이 사용하고 있습니다. 예를 들면 악성 파일을 이메일에 첨부하는 것, 드라이브바이 감염법, 우회 링크를 사용하기 등이 바로 그것이죠.”

그러므로 데스크톱이나 랩톱을 방어하는 것처럼 모바일에도 안티멀웨어 소프트웨어를 설치하고, 보안의 기본적인 수칙들을 모바일 사용자들에게 알려줄 필요가 있다고 디스틸 네트웍스는 권고하고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>