친구맺고 해킹? 다기능 악성코드 ‘주의’

과학기술

친구맺고 해킹? 다기능 악성코드 ‘주의’
진짜 같은 가짜 앱, 소셜 네트워크 감염 횡행

2018.09.12 10:14 김은영 객원기자

[ A+ ] /[ A- ]

정보통신기술이 발달하면서 사이버 범죄 조직의 악성 코드 기술도 함께 진화하고 있다.

러시아 보안기업 카스퍼스키랩은 올 상반기 전 세계 6만 개에 달하는 ‘봇넷’을 추적한 결과 다양한 작업에서 활용되는 다기능 악성코드가 크게 증가했다고 밝혔다.

소셜 네트워크를 통한 악성코드 감염도 큰 문제로 제기되고 있다.

보안 전문가들은 친구 맺기 등 지인을 사칭한 소셜 미디어 접근을 통해 악성파일을 유포, 상대방의 스마트폰을 감염시킨 후 스마트폰을 해킹할 수 있다고 경고했다.

정보통신기술이 진화하면서 사이버 범죄도 더욱 더 교묘하게 진화되고 있다. 올 상반기에는 다기능으로 활동할 수 있는 악성코드가 증가하면서 업계에 비상이 걸렸다. ⓒ pixabay.com

정상처럼 보이도록 접근…다기능 악성 코드 횡행

카스퍼스키랩은 지난 7일 ‘2018년 상반기 봇넷 활동 보고서’를 발표하면서 올해 상반기에는 ‘봇넷’에 활용되는 악성코드가 다기능 악성코드로 진화되고 있다고 밝혔다.

‘봇넷(Botnet)’은 스팸메일이나 악성코드를 전파시키는 악성코드 봇(Bot)에 감염된 좀비 PC(컴퓨터)들이 네트워크로 연결된 형태를 뜻한다.

사이버 테러범들은 이 ‘봇넷’을 근거지 삼아 각종 악성코드를 심어 유포하고 데이터를 탈취하는데 활용한다.

보고서에 의하면 올 상반기 봇넷에서 단일기능 프로그램을 통해 유포되던 악성코드 비중과 자동으로 댓글과 게시물을 생산해 스팸 게시물을 전송하는 ‘스팸봇’ 비중은 각각 지난 2017년 하반기 대비 9.21%(지난해 22.46%에서 13.25%로 감소), 6.70%(지난해 18.93%에서 12.23%로 감소)로 줄었다.

다수의 컴퓨터로 특정사이트를 마비시키거나 한꺼번에 공격을 가하는 디도스봇(D DoS Bot) 비중도 지난해 하반기 대비 2.66%에서 1.99%로 다소 감소한 것으로 나타났다.

반면 다기능 악성코드의 비중은 전 세계적으로 높은 증가세를 보이고 있어 우려를 나타내고 있다.

악성 코드(Malicious Code)란 바이러스, 스파이웨어, 트로이 목마 등 컴퓨터 사용자에게 피해를 주는 악의적인 컴퓨터 프로그램을 말한다. 이전에는 주로 단일기능 프로그램으로 전파됐다.

그런데 최근 증가한 다기능 악성 코드로 구성된 봇넷은 초기 설계된 기능을 빠르게 변경하며 스팸, 디도스, 뱅킹 트로이목마로 변종하는 양상을 보였다.

이러한 다기능 악성코드들은 정상적인 사이트나 프로그램인 것처럼 위장해 사용자들에게 신뢰를 준 다음 정보를 빼내는 수법을 사용한다.

예를 들어 다기능 악성코드 중 뱅킹 트로이 목마는 마치 정상적인 앱인 것처럼 위장해 사용자가 거부감 없이 설치하도록 유도한다. 이후 사용자가 뱅킹 앱을 실행하면 가짜 화면을 덧씌워 사용자가 기록하는 은행계좌와 비밀번호 등 금융정보를 가로챈다.

한창규 안랩 센터장은 지난달 31일 서울 영동대로 코엑스에서 열린 ‘국제 사이버 시큐리티 콘퍼런스 2018’에서 “가면이나 마스크를 쓰는 것처럼 악성코드를 포장해 마치 정상처럼 보이게 한 후 악성코드를 추가하는 기법이 늘고 있다”고 최근 보안 동향을 설명했다.

소셜 네트워크 통한 친구 맺기, 파일 유포 통해 감염

다기능 악성코드 유포 경로로 가장 많이 사용된 것은 원격 접속 도구(RAT)였다.

카스퍼스키랩 보고서에 따르면 접속도구(RAT) 파일을 통한 악성코드 유포는 지난 2017년 상반기 대비 6.55%에서 12.22%로 두 배 이상 증가한 것으로 나타났다.

원격 접속 도구(RAT) 악성코드의 문제는 감염된 PC를 거의 무제한 수준으로 악용할 수 있다는 것이다. 때문에 각별한 보안 주의가 필요하다.

다기능 악성 코드로 구성된 봇넷은 초기 설계된 기능을 빠르게 변경하며 스팸, 디도스, 뱅킹 트로이목마로 변종되어 다양한 공격 작업에 활용되고 있다. ⓒ pixabay.com

이 밖에도 최근 보안업계에서는 ‘안티VM’과 ‘파일레스(Fileless)’ 기법을 통한 악성코드 유포가 뜨거운 감자로 떠올랐다.

사이버 테러 공격자들은 ‘안티VM’으로 가상환경에서 파일을 분석하지 못하도록 방해하고 악성코드가 탐지하지 못하게 한다.

‘파일레스’ 공격은 악성코드를 파일 형태로 존재하지 않도록 함으로써 보안 진단 자체를 무력화 시키는 행위를 말한다.

파일레스 기법은 특히 가상화폐 채굴에서 크게 활약하고 있는 것으로 나타났다.

카스퍼스키랩은 보고서를 통해 봇넷 악성코드 중 가상화폐 채굴 악성코드가 78만 건 이상 확인됐다고 밝혔다. 이는 지난 2017년 상반기 탐지된 7만4천547건 대비 956% 증가한 수치다.

스마트폰을 통한 악성코드 감염도 나날이 심각해지고 있다.

문종현 이스트시큐리티 센터장은 지난달 31일 열린 ‘국제 사이버 시큐리티 콘퍼런스’에 나와 소셜 네트워크를 통한 악성코드 감염에 주의하라고 당부했다.

문 센터장은 “지인을 사칭해 친구를 맺거나 페이스북, 카카오톡 등을 통해 악성파일을 전송하는 방법이 많이 사용된다”며 “소셜 네트워크로 전송된 악성파일을 기반으로 상대방의 주소록, 문자, 음성 녹음 등 개인정보를 탈취해 각종 사이버 범죄행위에 이용하고 있다”고 경고했다.

전문가들은 보안 강화를 위해 최신 보안업데이트를 설치하고 불법 소프트웨어 및 콘텐츠는 다운로드하지 않는 것이 중요하다고 당부했다.

또한 △보안 취약한 소프트웨어 업그레이드(어도비 플래시 플레이어, 자바 애플릿, 인터넷 익스플로러 등) 최신 버전 설치 △불법 소프트웨어 설치 및 콘텐츠 다운로드 금지 △소셜 네트워크 통해 받은 파일 다운로드 자제 △공식 앱 스토어를 통해 신뢰할 수 있는 앱 설치 △다운로드 받는 앱의 요청 권한 확인 등도 보안을 위한 필수 체크 사항으로 지적했다.

(15681)