메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

2018년 상반기 봇넷 활동 보고서: 다기능 봇의 증가
 
카스퍼스키랩의 2018년 상반기 봇넷 활동 결산 보고서가 발행되었다. 이 보고서에는 전 세계적으로 6만 개에 달하는 봇넷에 활용되는 150종 이상의 악성 코드와 그 변종을 분석한 결과가 수록되어 있다. 연구 결과 중 가장 주목할 만한 내용은 한 가지 용도로만 설계된 것이 아니라 다양한 작업에서 사용할 수 있는 다기능 악성 코드에 대한 수요가 전 세계적으로 증가했다는 점이었다.

감염되어 범죄에 악용되는 기기의 집합을 의미하는 봇넷은 범죄자들이 악성 코드를 유포하고 DDoS 및 스팸 공격을 전개하는 데 활용되는 주요 도구이다. 카스퍼스키랩에서는 봇넷 추적 기술을 통해 지속적으로 봇넷 활동을 모니터링하여 차후에 발생할 공격을 예방하고 신종 뱅킹 트로이목마를 초기 단계에 차단하고 있다. 감염된 기기를 에뮬레이션하고 해당 봇넷을 사용하여 악성 코드를 유포하는 원 공격자가 보낸 명령을 유인하는 방식으로 작동하는 봇넷 추적 기술을 통해 연구진은 귀중한 악성 코드 샘플과 통계 자료를 얻을 수 있다.

최근의 연구 조사에 따르면 2018년 상반기에 봇넷을 통해 유포된 악성 코드 중 단일 기능 프로그램의 비중은 2017년 하반기에 비해 크게 줄어든 것으로 나타났다. 예를 들어 2017년 하반기 카스퍼스키랩의 모니터링 결과, 봇넷을 통해 유포된 전체 악성 파일 중 뱅킹 트로이목마가 차지한 비중이 22.46%였는데, 2018년 상반기에는 9.21% 감소하여 봇넷 추적 서비스에서 탐지된 전체 악성 파일 중 13.25%로 나타났다. 

스팸봇의 비중 또한 2017년 하반기 18.93%에서 올해 상반기 12.23%로 크게 줄어들었다. DDoS 봇도 유사한 경향을 드러내며 작년 하반기 2.66%에서 올 상반기 1.99%로 감소했다. 

반면에 다기능 악성 코드는 두드러진 증가세를 보였다. 특히 원격 접속 도구(RAT) 악성 코드는 감염된 PC를 거의 무제한 수준으로 악용할 수 있다는 장점에 힘입어 크게 증가하는 모습을 보였다. 봇넷을 통해 유포된 악성 코드 중 RAT 파일의 비중은 2017년 상반기 대비 6.55%에서 12.22%로 거의 2배 가까이 증가했다. 널리 사용되는 RAT의 대표적인 예로는 Njrat, DarkComet 및 Nanocore가 있다. 이 세 가지 백도어의 구조가 비슷하기 때문에 아마추어 해커도 쉽게 변조할 수 있다. 그래서 특정 지역에서 악성 코드를 유포하기 위한 목적으로 변조할 수 있다.

다기능 트로이목마의 경우 RAT만큼 큰 증가세는 보이지 않았다. 그러나 다른 단일 기능 악성 코드와 비교해보면 다기능 트로이목마의 비중 또한 2017년 하반기 32.89%에서 2018년 상반기 34.25%로 증가했다. 앞서 언급한 백도어와 마찬가지로 하나의 트로이목마 종이 변조되어 사이버 스파이나 자격증명 탈취 등 각기 다른 목적을 가진 다양한 C&C 서버를 통해 조종될 수 있다. 

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 "봇넷 활동에 있어서 RAT를 비롯한 다기능 악성 코드가 성행하는 이유는 명백합니다. 봇넷을 확보하는 데는 큰 비용이 들며 수익을 내기 위해 범죄자는 악성 코드를 최대한 많이 활용해야 하기 때문입니다. 다기능 악성 코드로 구성된 봇넷은 그 기능을 비교적 빠르게 변경하여 스팸, DDoS, 뱅킹 트로이목마 유포 등 다양한 공격 작업에 활용할 수 있습니다. 이러한 특성 덕분에 봇넷 소유자는 다양한 사이버 범죄 모델을 오가며 수입을 올리는 동시에 봇넷을 다른 범죄자에게 대여하여 간접적인 소득도 노릴 수 있는 것입니다."라고 말했다. 

봇넷 네트워크 중에서 두드러진 증가세를 보인 단일 기능 악성 코드는 채굴 악성 코드가 유일했다. 채굴 악성 코드의 비율은 대표적인 다기능 악성 코드에 못 미치는 수준이긴 하지만 채굴 악성 코드의 비중은 2배로 증가했다. 이는 카스퍼스키랩 전문가의 예측대로 악성 채굴 작업이 전 세계적으로 성행하는 추세에 힘입은 것으로 보인다.
사용 중인 기기를 봇넷 감염으로부터 차단하기 위해 카스퍼스키랩은 다음과 같은 조치를 취할 것을 권고하고 있다.

• PC 소프트웨어의 최신 보안 업데이트가 나올 때마다 최대한 빨리 설치한다. 패치가 적용되지 않은 기기는 사이버 범죄자의 표적이 되어 봇넷의 일부가 될 가능성이 높다.

• 악성 봇 유포에 종종 사용되는 불법 소프트웨어 설치나 컨텐츠를 다운로드하지 않는다. 
• 컴퓨터 백신 또는 시큐리티 제품을 설치하여 봇넷 생성에 활용되는 악성 코드를 비롯해 다양한 악성 코드에 감염되지 않도록 컴퓨터를 보호한다.

보고서 전문은 Securelist.com에서 확인할 수 있다.

카스퍼스키랩 소개
1997년 설립된 글로벌 사이버 보안 전문 회사 카스퍼스키랩은 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키랩은 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키랩의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있습니다. 
자세한 내용은 www.kaspersky.com을 참조하십시오.
번호 제목 날짜
151 2019년 암호 화폐 위협 예측

2018.12.12 0

2018.12.12
150 2018년 암호 화폐 채굴 광풍의 원인은 불법 소프트웨어와 컨텐츠

2018.12.12 0

2018.12.12
149 더욱 치명적인 공격을 위해 몸을 숨기는 공격자 그룹 - 카스퍼스키랩의 2019년 위협 예측

2018.11.28 0

2018.11.28
148 2018년 3분기에도 여전히 성행하며 약 75,000명의 사용자를 공격한 워너크라이

2018.11.23 0

2018.11.23
147 카스퍼스키랩, IoT 기기 결함을 찾는 화이트햇 대회 캡처 더 플래그 개최

2018.11.05 0

2018.11.05
146 메신저를 통해 중앙아시아 외교 기관을 노린 사이버 스파이 공격 발견

2018.10.22 0

2018.10.22
145 카스퍼스키랩, ‘섀도우패드’ 백도어 발견 공로를 인정받아 어워드 수상

2018.10.22 0

2018.10.22
144 카스퍼스키랩, 알려지지 않은 Microsoft Windows 취약점을 악용한 제로데이 공격 발견

2018.10.22 0

2018.10.22
143 USB 드라이브 감염의 10%가 암호 화폐 채굴 악성 코드

2018.10.22 0

2018.10.22
142 전자신문 36주년 창간 기획 기사 중 카스퍼스키랩 관련 기사 안내

2018.10.22 0

2018.10.22
141 산업 네트워크에 새로운 위협이 된 원격 관리 도구

2018.10.01 0

2018.10.01
140 2018년 상반기 신종 IoT 악성 코드 3배 증가

2018.10.01 0

2018.10.01
139 2018년 상반기 ICS 컴퓨터 중 40% 이상이 악성 코드에 감염

2018.10.01 0

2018.10.01
» 2018년 상반기 봇넷 활동 보고서: 다기능 봇의 증가

디브릿지 2018.10.01 22

2018.10.01
137 카스퍼스키랩 DDoS 인텔리전스 보고서에 새로운 키워드로 등장한 프린터, e스포츠, 가상 화폐

2018.10.01 0

2018.10.01
136 보이지 않는 위협, 모바일 뱅킹 트로이목마 기승

2018.08.23 0

2018.08.23
135 주요 업종의 ICS 보안을 위험하게 만드는 세 가지 요인: 인력 부족, 투자 미비, 사람의 실수

2018.08.23 0

2018.08.23
134 광고 네트워크를 통한 악성 코드 설치 시도를 월 50만 건 이상 차단하는 카스퍼스키랩

2018.08.23 0

2018.08.23
133 전 세계 기업 네트워크를 공격하는 새로운 파일리스 암호 화폐 채굴 악성 코드, PowerGhost

2018.08.23 0

2018.08.23
132 카스퍼스키랩 DDoS 인텔리전스 보고서에 새로운 키워드로 등장한 프린터, e스포츠, 가상 화폐

2018.08.23 0

2018.08.23