여러 가지 기능을 하는 악성코드가 급증했다.
카스퍼스키랩은 2018년 상반기 봇넷 활동 결산 보고서를 발행했다. 카스퍼스키랩은 세계 6만개에 달하는 봇넷에 활용되는 150종 이상 악성코드와 변종을 분석했다.
한 가지 용도로만 설계된 것이 아니라 다양한 작업에서 사용할 수 있는 다기능 악성코드가 증가했다. 봇넷은 감염돼 범죄에 악용되는 기기 집합을 의미한다. 범죄자가 악성코드를 유포하고 분산서비스거부(DDoS)와 스팸 공격을 하는데 쓴다.
올 상반기에 다기능 악성코드가 두드러진 증가세를 보였다. 원격 접속 도구(RAT) 악성코드는 감염된 PC를 거의 무제한 수준으로 악용한다. 봇넷을 통해 유포된 악성코드 중 RAT 파일 비중은 2017년 상반기 대비 6.55%에서 12.22%로 2배 늘었다. 널리 사용되는 RAT은 Njrat, DarkComet, Nanocore가 있다. 이 세 가지 백도어 구조가 비슷해 아마추어 해커도 쉽게 변조할 수 있다.
다기능 트로이목마는 RAT만큼 증가세는 보이지 않았다. 다른 단일 기능 악성 코드와 비교해보면 다기능 트로이목마 비중 또한 2017년 하반기 32.89%에서 2018년 상반기 34.25%로 늘었다. 백도어와 마찬가지로 하나의 트로이목마가 변조돼 사이버 스파이나 자격증명 탈취 등 각기 다른 목적을 가진 다양한 명령&제어(C&C) 서버로 조정된다.
이창훈 카스퍼스키랩코리아 대표는 “해커는 봇넷을 확보하는데 큰 비용을 투자한다”면서 “수익을 내려면 여러 기능을 하는 악성코드를 배포해야 한다”고 말했다. 이어 “다기능 악성코드로 구성된 봇넷은 기능을 변경해 스팸, DDoS, 뱅킹 트로이목마 유포 등 다양한 공격 작업에 활용할 수 있다”면서 “다양한 범죄 모델을 오가며 수입을 올리는 수단이 된다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com
