‘멀티바이징’, ‘이메일 첨부파일’ 등 수법 고도화, “특정 타깃 설정”
인터넷보호나라 “IoT 악성코드, Log4j 악성코드, 가상통화 악성코드 등 대거 탐지”
[애플경제 이보영 기자] 날이 갈수록 악성코드가 극성을 떨고 있다. 가장 최근이라고 할 2021년도엔 특히 하반기 들어 국내에서 악성코드 유포지점이 23%나 증가한 것으로 나타났다. 한국인터넷진흥원의 ‘인터넷보호나라’에 따르면 IoT 악성코드 관련 유포지가 대량 탐지되었고, Log4j 악성코드 유포지도 탐지되었다. 그런 가운데 가상통화 채굴 악성코드가 크게 증가했고, 정보 유출 악성코드도 지속적으로 유포되고 있다.
이에 따르면 이런 악성코드 은닉사이트도 크게 늘어났다. 이는 악성코드 자체 또는 악성코드를 유포하는 주소(URL)을 숨기고 있는 홈페이지다. 종전에는 홈페이지를 통한 악성코드 유포는 ‘드라이브 바이 다운로드’와 같은 소프트웨어 취약점을 악용하곤 했다. 그러나 최근에는 ‘멀티바이징’, ‘이메일 첨부파일’ 등의 공격 기법으로 고도화되었고, 공격 대상이 불특정 다수에서 특정 대상(기업, 개인, 특정 기기 등)으로 변화하는 양상을 보이고 있다는 지적이다.
‘인터넷보호나라’는 “대규모로 IoT 기기를 감염시키는 악성코드 중 하나인 Mozi(모지)는 2021년 상반기에 비해 하반기엔 30%나 증가한 유포지가 탐지되었다.”면서 “유포지가 다수
발견된 국가는 중국, 인도, 대만 순으로 확인되었다“고 전했다. 이에 따르면 지난 2020년 7월 모지의 개발자 및 운영자가 체포되면서 증가폭이 다소 줄긴 했다. 그러나 P2P 형태의 봇넷 구성을 하고 있어서 여전히 새로운 IoT 장치를 계속 감염시키는 것으로 나타났다. 즉 ”모든 기기가 수평적으로 연결되어 있는 P2P 네트워크의 특성 상 이미 인터넷에 퍼져 있는 IoT 감염 기기를 통해 계속 전파시킬 수 있는 능력을 가지고 있어서 모지의 위협은 현재까지 계속되고 있다“는 것이다.
한편 지난해 12월 10일 Log4shell RCE(CVE-2021-44228) 취약점 공개 이후 이를 악용하는 악성코드를 유포하기 위한 스캔 공격이나, 악성 네트워크 페이로드 역시 대량으로 탐지되었다. 실제로 “악성코드 은닉사이트 탐지시스템에서는 Log4j 관련 악성코드 유포지가 해당 시기에 대량으로 수집·탐지 되었으며, 특정 도메인(www.alldomaininfo.com)에서 총 60개의 Log4j 관련 악성코드 유포지가 탐지되었다”는 설명이다.
특히 “60개의 악성코드 유포지는 하위 URL에 특이하게 인종을 비하하는 문구가 사용되었다”면서 “수집된 50개의 악성코드를 HTA파일 형태로 분석한 결과 윈도우 운영체제의 ‘VBScript’를 사용하여 추가로 악성코드를 다운로드하거나 실행하는 사례를 포착했다”고 밝혔다.
특히 ‘정보 유출’ 다음으로 ‘다운로더’ 악성코드가 크게 늘어난 점이 특징이다. 이에 따르면 정보유출에 이어 다운로더의 경우가 많고, 그 뒤를 이어 원격제어, DDoS, 랜섬웨어, 가상통화 채굴, 백도어, 키로깅 등으로 많았다. 이처럼 다운로더 악성코드의 비중이 크게 증가한 데 대해 ‘인터넷보호나라’는 “대량 수집된 Log4j 취약점 관련 악성코드 대부분이 다른 URL에서 추가 파일 다운로드를 시도하는 악성행위로 인한 것”이라면서 “이 밖의 별도의 악성행위는 발견되지 않아 다운로더에 의한 악성코드로 분류된 경우가 많았다”고 분석했다.
또 취약한 서버나 시스템을 공격하여 감염 기기 내 중요 정보를 유출한 후 가상통화 채굴이나, 추가 악성코드 유포 등 여러 방면으로 악용하는 경우도 많았다. “최악의 경우는 시스템을 인질로 가상통화를 요구하는 랜섬웨어를 감염시키는 케이스”라고 지적했다.
특히 2021년 하반기에 가상통화의 가치가 급등함에 따라 감염기기를 악용하여 가상통화를 채굴하는 악성코드가 극성을 부렸다는 설명이다. 실제로 2021년 상반기에 비해 2배 이상 악성코드가 증가한 것으로 나타났다. “이때 채굴하는 가상통화는 주로 모네로(XMR) 코인으로 확인되었으며, 가상통화 채굴 악성코드는 채굴을 위해 공개된 ‘XMRig CPUminer’을 악용한 것으로 분석되었다.”는 얘기다.
한편 예전엔 이런 악성코드를 통해 금융정보를 탈취하는 경우가 많았던데 비해, 최근엔 정보를 빼내기 위한 목적이 많다는 점이 특징이다. 즉 그 동안엔 사용자 PC내 금융정보를 유출하거나, 파밍사이트로 유도하기 위해 공인인증서를 탈취하거나 PC의 호스트파일 변조를 통해 금융정보를 탈취하는 악성코드가 대세를 이뤘다. 그러나 “최근엔 (IT기술과 정보에) 취약한 계층을 집중적으로 공격하는 등의 방식으로 사전정보를 수집하고, 기기정보나 계정정보를 탈취하는 정보유출형 악성코드가 지속적으로 유포되고 있다”고 경고했다.
‘인터넷 보호나라’는 이에 “인터넷 사용자는 출처가 불분명한 이메일내 링크 및 첨부파일 열람을 금지하고, 비정상 사이트에 접근하거나 광고를 클릭하지 말 것”을 당부하는 한편, 시스템 관리자이 각별한 보안 관리를 주문하기도 했다.