올 1분기 “비트코인 봇넷 ‘제로액세스’가 가장 위협”

포티넷, 2013 1분기 보안 위협 보고서 발간

[보안뉴스 김태형] 네트워크 보안 솔루션의 글로벌 리더인 포티넷 코리아(사장 최원식, www.fortinet.co.kr)는 지난 1월 1일부터 3월 31일 까지 3개월 동안에 포티가드랩에서 집계한 2013년 1분기 보안 위협 전망 보고서를 발표했다.

포티넷의 인터넷 위협 분석 및 연구 기관인 포티가드랩(FortiGuard Labs)에 따르면 비트코인 채굴(Bitcoin-Mining)과 연관된 봇넷인 ‘제로액세스(ZeroAccess)’가 이번 1분기 전 세계 고객사에 설치된 전체 포티게이트(FortiGate) 장치가 감지한 최대 위협 요소였다고 보고했다.

이와 더불어 한국에서 발생한 대규모 사이버 테러에 대한 분석과 지난 3개월 동안 발견된 안드로이드 기반의 신종 변종 애드웨어를 공개했다.

1. 폭발적인 제로액세스(ZeroAccess) 봇넷의 증가

포티가드랩의 리차드 헨더슨(Richard Henderson) 보안 전략가 겸 위협 연구원은 “지난 2013년 1분기에 제로엑세스 봇넷의 소유자가 그들의 통제하에 봇(Bots)을 유지하고 확장하고 있었다”라며 “지난 3개월 동안, 제로엑세스의 소유자는 그들이 감염시킨 호스트에 20개의 소프트웨어 업데이트를 전송하였다”라고 밝혔다.

전세계 포티게이트 장비의 보고에 따르면, 제로액세스는 현재 가장 위협적인 봇넷으로 밝혀졌다. 제로액세스는 주로 클릭 사기(Click Fraud)와 함께 비트코인 채굴로 이용되었다. 분권화되고 공개 소스기반인 디지털 통화 비트코인의 가치가 폭발적으로 증가했고 이는 곧 제로엑세스로 인해 벌어들인 수익이 수백만 달러 혹은 그 이상일 수도 있음을 의미한다.

헨더슨은 “비트코인의 열기와 가치가 점차 증가함에 따라 우리는 또 다른 봇넷의 소유자들이 자신들이 개발한 봇넷을 비트코인과 유사한 형태로 사용하거나 기존의 비트코인 시장을 파괴하려는 시도를 발견했다”라고 덧붙였다.

지난 3월과 4월초 전세계 비트코인의 최대 거래소인 마운틴 곡스(Mt. Gox)에서는 통화가치를 불안정하게 만들거나 이러한 행위로 금전적 이익을 얻으려는 목적의 디도스 공격을 당하기도 했다. 감염된 머신에 디도스 모듈을 탑재할 수 있는 기능이 있는 제로액세스에 대해 포티가드랩이 분석한 결과 최근 발견된 봇넷에는 디도스 모듈을 탑재하지는 않은 것으로 밝혀졌다.

이는 곧 해당 디도스가 공격적인 목적이라기보다는 또 다른 봇넷의 소유자가 디도스로 인한 비트코인 통화의 변동 폭을 이용해 이득을 챙기려는 것으로 간주할 수 있다.

지난 3개월 동안 새로운 제로액세스 감염이 끊임없이 증가했다. 포티가드랩은 2012년 8월부터 본격적으로 제로엑세스를 감시했기 때문에 이 새로운 감염툴이 가상의 공간에서 얼마나 많이 증가하였는지 관찰할 수 있었다.

최근에는 신규 감염이 주당 10만 건이라는 어마어마한 증가폭을 보였고 대략 3백만 건의 특정 IP주소가 감염됐다고 보고 되었다. 이는 대략적으로 제로엑세스가 사기 광고 수익으로만 하루에 10만 달러의 소유주를 생산해내고 있다는 것을 의미한다.

2. 대한민국 대규모 와이퍼(Wiper) 공격 당해

지난 3월 20일 대한민국의 일부 방송사와 금융기관에서 악성코드로 인한 거대한 사이버 공격을 당해 대규모 손상과 수천 대의 PC 하드드라이브가 삭제되었다. 포티가드랩은 한국의 공공과 민간 기업의 파트너사와 함께 해당 공격의 본질적인 정보를 밝혀냈고 악성코드가 어떻게 퍼졌는지 확인했다.

포티가드랩의 카일 양(Kyle Yang) 안티바이러스 수석 매니저는 “분석 결과 이번 공격은 내부의 보안 관리 서버들을 감염시키는 것을 통해서 시작되었다”라며 “이러한 관리 서버가 내부의 사용자 기기들과 신뢰를 기반으로 한 통신을 한다는 점에서 희생자가 크게 증가했다라는 특성을 보였다라고 확인했다”라고 밝혔다.

3. 안드로이드 기반의 신규 변종 애드웨어 2종 출현

포티넷은 또한 지난 3개월 동안 안드로이드 기반의 변종 애드웨어인 Android.NewyearL.B 와 Android.Plankton.B 가 전세계적으로 급증했다고 밝혔다.

포티가드랩의 데이빗 매셰잭(David Maciejak) 선임 연구원은 “포티가드랩이 모니터링 하고있는 이 새로운 방식의 광고 키트 애드웨어는 배후 공격자가 노출되지 않도록 하기 위해 점점 더 교묘한 수법을 이용하고 있다”라며” 이러한 악성코드는 같은 공격자에 의해 만들어 지고 있을 수 있으나, 더 많은 희생자에 감염을 시키기 위해 각자 별개의 것처럼 운영되고 있다”라고 말했다.

이 변종 악성코드는 안드로이드 기반의 다양한 애플리케이션에 침입하여 모바일 기기의 상태 창에 원하지 않는 광고를 지속 노출시키거나 IMEI(International Mobile Equipment Identity / 국제 모바일 기기 식별 코드) 번호를 통해 사용자를 추적하거나, 휴대 전화의 바탕화면을 변형시키는 증상을 유발한다.

포티가드랩의 기욤 러벳(Guillaume Lovet) 수석 매니저는 “이러한 안드로이드 기반 애드웨어가 급증한 것은 악성 애드웨어 코드가 포함된 애플리케이션을 설치하면서도 본인은 합법적인 애플리케이션을 설치하고 있다고 믿는 사용자들에서 기인한다”라며 “특히 불법 광고 제휴 프로그램을 이용한 이러한 감염을 통해 개인이나 특정 그룹이 금전적인 이득을 취했을 것으로 추정된다”라고 말했다.

포티넷은 이러한 악성코드로부터 자신의 스마트 기기를 방어하기 위해서는 응용 프로그램을 설치할 때 설치 동의 약관을 신중하게 검토하고, 높은 평가와 리뷰 개수를 확보한 모바일 애플리케이션을 다운로드 하는 것이 좋다고 권고했다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)