전 세계 9천여 대 서버·PC ‘폼북’ 악성코드에 당했다! 한국 311대 감염
감염 PC의 계정정보, 데이터 통신 내용 등 탈취… 6~7월 전 세계 감염 PC 급증
에스투더블유랩, 다크웹에서 품복 관리·운영 사이트 탐지해 분석중
다크웹 위협정보 탐지 전문업체 에스투더블유랩(S2WLAB)은 다크웹에서 폼북의 운영·관리용으로 추정되는 사이트를 탐지해 현재 분석 중에 있다고 밝혔다.
이는 최신 봇넷이 전 세계를 대상으로 다크웹에서 체계적으로 관리되는 정황을 탐지한 첫 사례에 해당된다.
폼북은 이메일 첨부파일 등 다양한 형태로 감염되며, PC에 설치되면 해당 PC의 계정정보, 데이터 통신 내용 등을 지속적으로 명령제어(C&C) 서버로 전송된다.
폼북은 다크웹에서 판매되고 있는 악성코드의 일종으로 여러 버전이 있으나, 현재 발견된 버전은 최신 변종 형태로 추정된다.
에스투더블유랩은 9천여 개 PC의 IP 주소 중에서 국내로 특정되는 IP에 대해서 우선적으로 파악해 한국인터넷진흥원 등 관련기관에 전달했으며, 폼북에 감염된 서버나 PC를 보유한 기업 및 기관은 21일 모두 대응조치가 완료된 것으로 알려졌다.
현재 폼북 악성코드의 최대 확산 국가는 중국(1,976대), 터키(647대), 미국(566대), 인도(480대) 순으로, 한국의 경우 311대로 확산대수 기준 7위에 해당되는 것으로 분석됐다. 최초 감염지는 유럽으로, 감염 PC 대수는 실시간으로 증감하고 있으며 올해 6~7월을 기점으로 폭발적인 증가세를 보이고 있는 것으로 드러났다.
감염 IP 분석 결과에 따르면 C&C 서버와 통신이 매우 짧게 이뤄진 경우도 있지만, 장시간 동일한 C&C 서버와 통신이 진행된 경우도 있어 지속적인 정보 탈취 가능성 등 추가 피해가 우려된다.
에스투더블유랩의 서상덕 대표는 “다크웹발 위협이 마약, 음란물 등 민생 범죄를 넘어서 악성코드 거래나 공격과 같은 보안 위협으로 더 활성화될 것으로 우려된다”며, “익명 네트워크의 악용을 막는 데는 국제 공조가 필요하며 이러한 활동에 우리도 최선을 다할 것”이라고 말했다.
또한, 곽경주 인텔리전스 팀장은 “폼북에 대한 추가적인 분석 내용을 계속 공유하고, 앞으로도 이러한 공격 시도들이 파악되는 즉시 국내 기업과 기관을 보호하기 위해 지속적으로 노력하겠다”고 밝혔다.
한편, 에스투더블유랩은 지난 2월 미국 샌프란시스코에서 열린 RSAC 2020에 독립부스로 참가, 다크웹에서의 위협정보를 탐지할 수 있는 솔루션 등 사이버위협 대응을 위한 빅데이터 분석 솔루션을 소개해 주목을 받은 바 있다.
출처: https://www.boannews.com/media/view.asp?idx=89974
위 게시글에 문제가 있을 시, 삭제하겠습니다.
