“‘자쿠’ 봇넷 42% 한국 공격…제작자는 ‘한국인’”
상태바
“‘자쿠’ 봇넷 42% 한국 공격…제작자는 ‘한국인’”
  • 김선애 기자
  • 승인 2016.06.20 11:20
  • 댓글 0
이 기사를 공유합니다

포스포인트, 북한·평양 공유하는 ‘자쿠’ 보고서 발간…연례 보안 보고서 통해 APT·랜섬웨어 위험 알려

아시아 지역을 표적으로 한 봇넷 ‘자쿠(Jaku)’ 공격의 42%가 한국에서 발생한 것으로 나타났으며, 미국은 전 세계 다른 모든 국가를 합친 것보다 많은 수의 피싱 사이트가 호스팅 되는 국가로 분석됐다.

포스포인트의 연례 보고서 ‘2016 글로벌 위협 보고서’에 따르면 자쿠는 한국, 일본, 중국, 대만, 미국 등 134개국에서 피해를 일으켰으며, NGO 활동가, 엔지니어링 회사 임직원, 교육기관 종사자, 과학자, 공무원 등을 집중적으로 노리고 있다. 포스포인트는 “북한과 평양이 자쿠의 공격 대상이 공유하는 공통주제”라고 설명했다.

자쿠가 시스템에 체류하는 시간은 평균 93일, 최장 348일 동안 체류했던 것으로 나타났다. 자쿠는 여러 단계에 걸쳐 타깃 시스템에 침투하며, 중요 데이터를 탈취한다. C&C서버는 말레이시아, 태국, 싱가포르 등에 위치하고 있으며, 감염된 비트토렌트 사이트를 통해 유포되며, 라이선스가 없는 소프트웨어 사용과 와레즈 소프트웨어를 통해 감염된다. 암호화, 스테가노그래피, 허위파일형식, 스텔스 삽입, 백신 엔진 탐지 등의 기능을 갖고 있다.

자쿠는 봇넷 컨트롤러가 난독화 SQ라이트 데이터베이스를 통해 봇넷 구성원을 감시하며, 이미지파일 내 압축과 암호화된 코드를 사용해 두 번째 단계의 멀웨어를 전달한다. 컨트롤러는 오픈소스로 제공되는 UDT 네트워크 전송 프로토콜을 사용하는데, 이것은 한국 블로거 사이트에서 복사한 소프트웨어와 이전에 출시된 코드 다시쓰기를 재사용한다.

포스포인트 보고서에서는 “자쿠 봇넷 활동의 배후와 관련, 확인된 멀웨어의 제작자는 한국인이라는 지표가 있다”고 설명했다.

2015년 이메일 악성코드 전년대비 250% 증가

한편 이번 보고서는 포스포인트가 전 세계 155개국을 대상으로 매일 30억 개 이상의 데이터 포인트로부터 수집한 최신의 진화하는 위협을 다루고 있으며, 새롭게 등장한 기회주의적 랜섬웨어, 멀웨어 방지 도구에 대한 소개와 더불어, 지속해서 약화하고 있는 보안 경계로 인해 사이버 보안 전문가와 이들이 보호하고자 하는 기업에 발생하는 심각한 위협에 따른 이슈를 분석했다.

보고서에 따르면 스팸 메일 10건 중 9건이 한 개 이상의 URL을 포함하고 있으며 수 백만 건에 달하는 악성 매크로가 전송되고 있고, 이메일과 웹 공격 채널이 서로 융합되는 추세가 지속함에 따라 발생하는 것으로 나타났다.

2015년 이메일 내 악성 콘텐츠가 2014년 대비 250% 증가했으며, 멀웨어 및 랜섬웨어가 주된 원인인 것으로 나타났다. 미국은 전 세계 다른 모든 국가를 합친 것보다 많은 수의 피싱 사이트가 호스팅 되는 국가이다.

랜섬웨어는 더욱 많은 돈을 가로챌 수 있는 업계나 국가, 경제권에 집중되고 있으며, 기술적으로도 더 진화된 양상을 보인다. 악의적 혹은 우발적 내부자 위협은 기업 보안에 있어 가장 큰 위협이 되고 있으나, 기업들은 이에 대한 준비가 가장 부족하다고 믿는 것으로 나타났다.

지능형 우회 기술이 발달함에 따라 이러한 기법이 증가하고 있으며, IP 분할, TCP 세분화 등 다양한 기법을 혼합하여 접근제어 기술을 우회하고, 워터링 홀을 공격과 트래픽을 위장하는 새로운 기법이 개발되고 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.