악성 봇, 웹 브라우저 취약점을 노린다!

올해 탐지 더욱 힘들어지고 금전 이득이 목적

하나의 악성 봇에 다양한 악성 기능내장 증가

악성 Bot은 스스로 움직이지 못하고 인간에 의해 제어당하는 기계 로봇과 마찬가지로 해커가 원격으로 제어할 수 있는 악성코드의 일종이다. 최근 해킹수법의 변화와 더불어 악성 Bot 기법도 진화하고 있어 컴퓨터 이용자들의 주의가 요구된다.

지난해 한국정보보호진흥원 조사 결과를 보면 “무작위로 전파되는 웜에 대한 발생건수나 감염 수치는 줄어들고 있으나 특정 목적을 가지고 전파되는 악성 Bot은 지속적으로 증가하고 있다”고 말하고 “특히 한국은 초고속 인터넷 가입자 1천만명, PC보급대수 3천만대에 육박해 자타가 공인하는 세계 제1의 인터넷 대국이지만 한편으로는 악성 Bot 유포자들에게 좋은 공격 표적이 되는 경향도 있다”고 경고했다.

인터넷침해사고대응지원센터의 허니넷에서 측정한 결과에 따르면 올 초 국내 악성 Bot 감염율이 전세계 감염 대비 20%대를 넘어설 정도로 수많은 국내 컴퓨터들이 악성 Bot에 감염됐다. 그러나 국내 ISP, IDC 등 관련 기관들과 활발한 악성 Bot 감염예방 및 대응활동을 통해 국내의 악성 Bot 감염비율이 지속적으로 감소해 지난해 12월 국내 감염 비율이 9%대로 감소했다.

월	1	2	3	4	5	6	7	8	9	10	11	12
국내 비율	24.1%	26.4%	25.8%	24.6%	20.7%	18.1%	19.4%	19.7%	14.6%	13.6%	9.5%	9.2%

<전세계 악성 Bot 감염 대비 국내 감염 비율. Honey Net제공>

악성 Bot 감염 국가별 순위도 지난해 2~4월까지는 1위에서 11~2월간에는 4위로 내려가는 등 감염율이 점차 줄어들고 있는 상황이다.

지난해는 여러 종류의 악성 봇이 나타났다. 특히 기존 이메일 및 취약점을 이용한 무작위 전파 악성코드(단, beagle 및 sober는 지속적으로 변종 발생)보다는 금전적인 이득을 목적으로 사용자 ID 및 비밀번호를 훔치는 트로이잔, 키로거 기능이나 웹 브라우저 취약성을 이용한 악성코드 등이 주로 발생한 점이 특징이다.

악성 봇은 2003년부터 문제가 돼 2005년을 기점으로 활발하게 인터넷 상에 유포되기 시작했다. 악성 봇 운영 및 배포자는 사용자 PC를 감염시킨 후, 스팸 메일 발송, 분산서비스 거부 공격, 사용자 정보 수집 등 악의적인 행위를 시도하고, 사용자의 PC에 스파이웨어 및 기타 악성 코드를 설치하는 등 많은 피해를 일으킨다.

또한 최근 발생하고 있는 개인정보 유출형 봇과 같은 경우 웹 브라우저 또는 특정 프로세서에서만 실행되도록 설계돼있어 일반 사용자가 자신의 시스템에 악성 봇을 감지해 내지 못하는 것도 특징이다. 뿐만 아니라 해킹 프로그램에만 사용되던 rootkit 기술이 악성 봇에 악용됨으로써 기존의 보안프로그램이 탐지를 못하는 경우도 발생한다.

더욱이 대부분의 악성 봇은 기본적으로 특정 정보 또는 특정 사이트 방문 시에 관련 정보를 감염 시스템으로부터 추출할 수 있도록 하는 키로거 기능이 기본적으로 포함돼있어 인터넷뱅킹 사용자들의 개인정보 유출 피해가 발생할 소지가 있기 때문에 사용자의 주의가 필요하다.

지난해 악성 봇의 유포 목적은 특정 국가에서 서비스 되는 금융 관련 정보와 온라인 게임 정보 등에 대한 정보를 획득하기 위해 유포되는 경우가 많았다. 또한 윈도우 운영체계 취약점 공격에서 이제는 XP SP2 사용자의 증가로 윈도우 취약점이 줄어들면서 웹 브라우저 취약점을 사용하는 사례가 증가하고 있는 추세다.

올해 악성 봇의 특성에 대해 침대대응센터 관계자는 “올해 악성 봇 특성을 전망해보면 소규모 악성 봇 네트워크 구성을 통해 신속하고 유동성 있게 운영할 것으로 예상된다. 이유는 대규모 악성 봇 네트워크를 운영할 경우 탐지가 쉽고 최근 악성 봇 경우지 서버를 상실하는 경우가 많기 때문”이라고 밝혔다.

또한 그는 “대부분 악성 봇이 평문 통신을 사용하기 때문에 탐지를 쉽게 당해 노출된 반면 올해는 악성 봇 감염 시스템과 경유지 서버 사이의 전체 통신을 암호화 하거나 또는 명령 전달 부분만 일부 암호화 하는 방법이 증가해 악성 봇 탐지가 더욱 힘들어 질 것”이라고 예측했다.

제어 방법에 있어서도 그는 “대부분 IRC를 사용하고 있으나 HTTP 프로토콜 사용 증가 및 RSS(웹사이트에서 업데이트 된 정보를 쉽게 사용자들에게 제공하기 위해 XML을 기초로 만들어진 데이터 형식)를 이용한 제어 방법 등이 나타날 것으로 예측된다. 이러한 방법으로 악성 봇을 제어할 경우 제어는 쉬워지는 반면 탐지는 더욱 어려워질 전망”이라고 밝혔다.

더욱이 특정 사이트 해킹 후 해당 사이트를 접속하는 사용자의 웹 브라우저 또는 관련 취약점을 악용한 악성 봇 유포가 예상된다. 이렇게 유포된 악성 봇은 금전적인 이득을 위한 목적으로 악용될 소지가 있다.

또 특정 지역에서만 유포되는 악성 봇은 계속 증가할 것으로 예측되며, 악성 봇들이 정보 획득을 위해 여러 가지 기능들이 하나의 악성코드에 복합되는 경향도 증가할 것으로 예측되고 있다. 특히 스파이웨어 및 Trojan 계열의 악성 봇에서 이러한 경향이 두드러질 것으로 보인다.

센터 관계자는 “향후 악성 봇은 더욱 정교해지고 탐지되지 않도록 하는 기술, 정보 추출방법 등에 있어 기술적으로 발달될 것으로 예측돼, 이에 따라 주요 ISP/IDC 사업자, 해외 CERT 팀들과 긴밀하게 협조 체계를 이루어 지속적으로 악성 봇에 대응할 방침”이라고 밝혔다.

[길민권 기자(is21@infothe.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)