포티넷 "디지털 화폐 훔치는 봇넷 급증"

지난 1분기 글로벌 보안 위협 중 가장 많이 증가한 것은 디지털 화폐 비트코인을 훔치기 위한 봇넷인 것으로 조사됐다. 봇넷은 악성코드에 감염된 PC들로 이뤄진 네트워크를 말한다.

포티넷 코리아는 18일 포티가드랩을 통해 지난 1월 1일부터 3월 31일까지 3개월 간 수집한 글로벌 보안 위협을 분석한 결과를 이 같이 발표했다.

포티넷 인터넷 위협 분석 및 연구 기관인 포티가드랩은 지난 1분기에 '비트코인 채굴(Bitcoin-Mining)'과 관련된 봇넷인 '제로엑세스'가 전 세계 고객사에 설치된 포티게이트가 감지한 최대 위협 요소였다고 보고했다. 이와 함께 한국에서 발생한 대규모 사이버 테러에 대한 분석과 지난 3개월 동안 발견된 안드로이드 기반의 신종 변종 애드웨어를 공개했다.

리차드 헨더슨 포티가드랩 보안 전략가 겸 위협 연구원은 1분기에 제로엑세스 봇넷의 소유자가 그들의 통제하에 봇을 유지하고 확장하고 있었다며 지난 3개월 동안 제로엑세스의 소유자는 그들이 감염시킨 호스트에 20개의 소프트웨어 업데이트를 전파했다고 밝혔다.

이 회사에 따르면 제로엑세스는 현재 가장 위협적인 봇넷이다. 주로 '클릭 사기'와 함께 비트코인 채굴에 악용됐다. 디지털 화폐로 주목 받고 있는 비트코인의 가치가 폭발적으로 증가하면서 해커들이 새로운 돈벌이를 찾아냈다는 것이다. 이를 통해 범죄조직이 벌어들이는 수익은 수백만 달러에 달하는 것으로 추정된다.

헨더슨은 비트코인에 대한 열기가 높아지고 가치에 주목하면서 또 다른 해커들이 자신들이 개발한 봇넷을 비트코인과 유사한 형태로 사용하거나 기존의 비트코인 시장을 파괴하려는 시도를 발견했다고 덧붙였다.

지난 3월과 4월초 전 세계 비트코인의 최대 거래소인 마운틴 곡스(Mt. Gox)에서는 통화가치를 불안정하게 만들거나 이러한 행위로 금전적 이익을 얻으려는 목적의 분산서비스거부(DDoS) 공격을 당하기도 했다.

감염된 기기에 DDoS 모듈을 탑재할 수 있는 기능이 있는 제로엑세스는 최근 발견된 봇넷에는 탑재되지 않은 것으로 나타났다. 이는 서비스 마비가 목적이라기 보다는 비트코인을 통해 이득을 챙기려 했기 때문이라는 분석이다.

이 회사의 분석에 따르면 지난 3개월 동안 새로운 제로엑세스 감염이 끊임 없이 증가했다. 포티가드랩은 지난해 8월부터 본격적으로 제로엑세스를 감시했기 때문에 이 새로운 감염툴이 가상의 공간에서 얼마나 많이 증가하였는지 관찰할 수 있었다고 밝혔다.

최근에는 신규 감염이 주당 10만 건에 달하며 약 300만건 의 특정 IP주소가 봇넷으로 악용되고 있는 것으로 조사됐다. 이는 대략적으로 제로엑세스가 사기 광고 수익으로만 하루에 10만 달러의 수익을 내고 있다는 의미다.

같은 기간 안드로이드 기반의 변종 애드웨어도 2종이 새로 발견됐다. 포티넷은 또한 지난 3개월 동안 안드로이드 기반의 변종 애드웨어 'Android.NewyearL.B' 와 'Android.Plankton.B'가 전세계적으로 급증했다고 밝혔다.

데이빗 매셰잭 포티가드랩 선임 연구원은 현재 모니터링 중인 변종 애드웨어는 배후 공격자가 노출되지 않도록 하기 위해 점점 더 교묘한 수법을 이용하고 있다며 이러한 악성코드는 같은 공격자에 의해 만들어 지고 있을 수 있으나, 더 많은 희생자에 감염을 시키기 위해 각자 별개의 것처럼 운영된다고 설명했다.

이 변종 악성코드는 안드로이드 기반의 다양한 애플리케이션에 침입해 모바일 기기의 상태 창에 원하지 않는 광고를 지속 노출시키거나국제모바일기기식별코드(IMEI) 번호를 통해 사용자를 추적하거나 휴대 전화의 바탕화면을 변형시키는 증상을 유발한다.