카스퍼스키랩, ‘2018년 상반기 봇넷 활동 보고서: 다기능 봇의 증가’ 발표

 
[아이티데일리] 올 상반기 다기능 악성코드 비중이 증가세를 보인 것으로 조사됐다. 특히 원격 접속 도구(RAT) 악성코드가 감염된 PC를 악용할 수 있다는 장점으로 인해 크게 증가한 것으로 분석됐다. 봇넷을 통해 유포된 악성코드 중 RAT 파일의 비중은 2017년 상반기 대비 6.55%에서 12.22%로 거의 2배 가까이 증가했다.

7일 카스퍼스키랩(한국지사장 이창훈)은 ‘2018년 상반기 봇넷 활동 결산 보고서’를 발표하며 이같이 밝혔다.

이 보고서에서는 전 세계적으로 6만 개에 달하는 봇넷에 활용되는 150종 이상의 악성 코드와 그 변종을 분석한 결과가 수록됐다. 연구 결과 중 가장 주목할 만한 내용은 한 가지 용도로만 설계된 것이 아니라 다양한 작업에서 사용할 수 있는 다기능 악성 코드에 대한 수요가 전 세계적으로 증가했다는 점이었다.

‘감염돼 범죄에 악용되는 기기의 집합’을 의미하는 봇넷은 범죄자들이 악성 코드를 유포하고 DDoS 및 스팸 공격을 전개하는 데 활용된다. 이번 연구 조사에 따르면 올 상반기에 봇넷을 통해 유포된 악성 코드 중 단일 기능 프로그램의 비중은 지난해 하반기에 비해 크게 줄어든 것으로 나타났다.

지난해 하반기 카스퍼스키랩의 모니터링 결과, 봇넷을 통해 유포된 전체 악성 파일 중 뱅킹 트로이목마가 차지한 비중은 22.46%였으나 올 상반기에는 9.21% 감소한 13.25%로 나타났다. 스팸봇의 비중 또한 18.93%에서 12.23%로 줄어들었다. DDoS 봇도 유사한 경향을 드러내며 2.66%에서 1.99%로 감소했다.

반면에 RAT 악성코드 등 다기능 악성코드의 비중은 늘었는데, RAT의 대표적인 예로는 Njrat, DarkComet 및 Nanocore 등을 들 수 있다. 특히 세 가지 RAT은 구조가 비슷하기 때문에 아마추어 해커도 쉽게 변조할 수 있다. 그래서 특정 지역에서 악성코드를 유포하기 위한 목적으로 변조가 가능하다.

다기능 트로이목마의 경우 RAT만큼 큰 증가세는 보이지는 않았다. 그러나 다른 단일 기능 악성 코드와 비교해보면, 다기능 트로이목마의 비중 또한 지난해 하반기 32.89%에서 올 상반기 34.25%로 증가했다. 앞서 언급한 백도어와 마찬가지로 하나의 트로이목마 종이 변조돼 사이버 스파이나 자격증명 탈취 등 각기 다른 목적을 가진 다양한 C&C 서버를 통해 조종될 수 있다.

이창훈 카스퍼스키랩코리아 지사장은 “봇넷 활동에 있어서 RAT를 비롯한 다기능 악성코드가 성행하는 이유는 명백하다. 봇넷을 확보하는 데는 큰 비용이 들며 수익을 내기 위해 범죄자는 악성 코드를 최대한 많이 활용해야 하기 때문”이라며, “다기능 악성코드로 구성된 봇넷은 그 기능을 비교적 빠르게 변경해 스팸, DDoS, 뱅킹 트로이목마 유포 등 다양한 공격 작업에 활용할 수 있다”고 말했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지