카스퍼스키랩, 다기능 악성코드 증가

글자 작게 글자 크게 인쇄하기

여러 가지 기능을 하는 악성코드가 급증했다.

카스퍼스키랩은 2018년 상반기 봇넷 활동 결산 보고서를 발행했다. 카스퍼스키랩은 세계 6만개에 달하는 봇넷에 활용되는 150종 이상 악성코드와 변종을 분석했다.

한 가지 용도로만 설계된 것이 아니라 다양한 작업에서 사용할 수 있는 다기능 악성코드가 증가했다. 봇넷은 감염돼 범죄에 악용되는 기기 집합을 의미한다. 범죄자가 악성코드를 유포하고 분산서비스거부(DDoS)와 스팸 공격을 하는데 쓴다.

올 상반기에 다기능 악성코드가 두드러진 증가세를 보였다. 원격 접속 도구(RAT) 악성코드는 감염된 PC를 거의 무제한 수준으로 악용한다. 봇넷을 통해 유포된 악성코드 중 RAT 파일 비중은 2017년 상반기 대비 6.55%에서 12.22%로 2배 늘었다. 널리 사용되는 RAT은 Njrat, DarkComet, Nanocore가 있다. 이 세 가지 백도어 구조가 비슷해 아마추어 해커도 쉽게 변조할 수 있다.

ⓒ게티이미지뱅크
<ⓒ게티이미지뱅크>

다기능 트로이목마는 RAT만큼 증가세는 보이지 않았다. 다른 단일 기능 악성 코드와 비교해보면 다기능 트로이목마 비중 또한 2017년 하반기 32.89%에서 2018년 상반기 34.25%로 늘었다. 백도어와 마찬가지로 하나의 트로이목마가 변조돼 사이버 스파이나 자격증명 탈취 등 각기 다른 목적을 가진 다양한 명령&제어(C&C) 서버로 조정된다.

이창훈 카스퍼스키랩코리아 대표는 “해커는 봇넷을 확보하는데 큰 비용을 투자한다”면서 “수익을 내려면 여러 기능을 하는 악성코드를 배포해야 한다”고 말했다. 이어 “다기능 악성코드로 구성된 봇넷은 기능을 변경해 스팸, DDoS, 뱅킹 트로이목마 유포 등 다양한 공격 작업에 활용할 수 있다”면서 “다양한 범죄 모델을 오가며 수입을 올리는 수단이 된다”고 말했다.

김인순 보안 전문기자 insoon@etnews.com