안드로이드 기반 악성코드 급증
상태바
안드로이드 기반 악성코드 급증
  • 이광재 기자
  • 승인 2014.03.04 15:11
  • 댓글 0
이 기사를 공유합니다

2013년 10대 모바일 악성코드군·봇넷·스팸 발송국가·악성코드군 조사 결과

포티넷코리아가 포티가드랩(FortiGuard)에서 2013년 1월1일부터 12월31일까지 조사한 결과를 바탕으로 2013년 보안 위협 동향 보고서(원문 다운로드: www.fortinet.com/resource_center/whitepapers/threat-landscape-report-2014.html)를 발간했다.

2013년은 모바일 기기에 대한 악성코드의 활동이 왕성한 한 해였다. 포티넷의 포티가드랩에 따르면 안드로이드 플랫폼은 전체 모바일 악성코드 감염 OS 중 96.5%를 차지하면서 악성코드 개발자들이 가장 많이 공격대상으로 선택한 플랫폼으로 드러났다. 감염된 전체 OS 중 3.45%를 차지한 심비안(Symbian)이 그 뒤를 이었으며 iOS, 블랙베리, 팜OS(PalmOS), 윈도 모두 합산해 1% 미만으로 나타났다.

▲ 2013년 전체 모바일 악성코드 감염 OS

액실 애프브릴 포티가드 수석 모바일 안티바이러스 연구원은 “사내 네트워크에 모바일 기기의 접근을 허용하고자 하는 보안정책을 준비중인 시스템 관리자에게 안드로이드를 타깃으로 하는 악성코드의 급속한 증가는 확실히 우려되는 문제”라며 “포티가드랩은 작년 한 해 동안 1800여개의 신규 바이러스군을 탐지했고 주요 바이러스군은 구글의 안드로이드 플랫폼을 타깃으로 하고 있다”고 설명했다.

그는 이어 “안드로이드 악성코드의 증가율은 느려지기는 커녕 오히려 가속화되고 있고 이를 살펴봤을 때 2014년에도 여전히 상황이 좋지 않을 것이라 예상된다”며 “안드로이드 기반 기기를 구매하고 인터넷을 접속하는 사람들이 늘어날수록 공격자들에게 더 많은 침투 기회를 주게 된다”고 덧붙였다.
▲ 2013년 포티가드랩에 보고된 10대 모바일 악성코드군

심비안과 같은 비 안드로이드 플랫폼에 대한 공격은 줄어든 반면에 안드로이드 플랫폼은 공격 대상 1순위가 됐다. 손전등 애플리케이션과 같은 일반적인 애플리케이션 내부에 숨어서 함께 다운로드되는 안드로이드 악성코드 NewyearL.B는 지속적으로 수백만대의 기기를 감염시켰고 작년 가장 득세한 모바일 악성코드군이었다. 모바일 기기 사용자가 아무것도 모르고 최신 게임, 애플리케이션을 실행하는 동안 공격자는 사용자의 주요 개인정보를 탈취해간다. 감염된 기기의 사용자는 집요한 광고에 시달리게 되고 NewyearL.B는 시스템 아이콘 추가 삭제 기능, 외부기억장치 콘텐츠 변경 삭제 기능을 탈취해 악용할 수 있게 된다. 안드로이드 악성코드의 확산 또한 필연적으로 가속화된다.

액실 애프브릴 연구원은 “사이버 범죄자들은 타깃으로 하는 모바일 기기에 침투시킬 목적으로 매일같이 수천만 개의 변종 악성코드를 개발해내기 위해서 많은 노력을 기울인다”고 전했다.

2013년 초 포티가드랩은 제로액세스(ZeroAccess) 봇넷의 관리자들이 얼마나 체계적으로 주간 만여건 이상의 감염을 전파하는지 보고한 바 있다. 관련 업계 연구자들은 제로액세스의 배후가 감염 시도에서 투자한 만큼 금전적 수익을 벌어들였다고 판단했다.

리차드 헨더슨 포티가드랩 보안 전략가는 “기존 사이버 범죄자들과 마찬가지로 제로액세스 개발자는 합법적인 사업체를 모방하여 운영함으로써 다양한 방식으로 수익을 창출해내는 데 성공했다”며 “포티가드랩은 제로액세스 32비트 및 64비트 버전이 가짜 링크, 검색 엔진 감염, 비트코인(Bitcoin) 채굴 목적으로 사용된 사례를 발견한 바 있고 작년에 비트코인의 가치가 급격히 상승하면서 제로액세스 공격코드를 보유하고 있는 공격자들이 피해자들로부터 막대한 이익을 탈취해냈을 가능성이 높다”고 밝혔다.
▲ 2013년 포티가드랩에 보고된 10대 봇넷(전체 점유율: %)

전세계 각국에 구축된 포티넷의 안티스팸 어플라이언스가 탐지 및 차단한 스팸메일은 수십억통에 이른다.
리차드 헨더슨 보안 전략가는 “스패머(Spammer: 스팸메일 전파자)는 판독장치를 무효화시키고 이메일 사용자가 악성 첨부파일과 링크를 클릭하도록 유도하기 위해 수많은 방법을 시도한다”며 “악성코드가 전파되도록 설계한 링크는 가짜 팩스 메시지, 의약품 광고, E카드 등, 여러 가지 형태로 위장한다”고 말했다.

그는 또한 “스패머들이 전세계 각국에 다양하게 퍼져있다는 것도 흥미로운 사실로 포티가드랩에서 낸 통계에 따르면 2013년 조사된 전체 스팸메일 중 과반수가 동유럽과 러시아에서 발송됐으며 10위권에 드는 국가들이 모두 전세계에 고루 분포돼 있다는 것을 알 수 있다”고 전했다.
▲ 2013년 포티가드랩에 보고된 10대 스팸 발송 국가(전체 점유율: %)

컴퓨터 악성코드중에서는 트로잔(Trojan) 바이러스 제우스(Zeus)가 맹활약했는데 포티넷의 포티게이트가 보호하는 네트워크상에서만 침투 시도가 2000만번 이상 발생했다. 제우스는 2007년 처음 컴퓨터에 나타난 이후로 줄곧 인터넷 사용자들에게 골칫거리로 여겨졌다. 2011년에는 제우스의 소스코드가 유출되면서 사이버 범죄자들이 제우스의 수많은 변종 악성코드를 이용해 무고한 피해자들로부터 금전을 탈취하는 사건이 발생했다.

리차드 헨더슨 보안 전략가는 “제우스는 2013년 또 다른 방식의 신종 범죄수단으로 주목 받았다”며 “일반적으로 금융 계통 트로잔 바이러스로 이용되는 제우스가 작년에는 금전 요구용 랜섬웨어인 크립토락커(Cyptolocker)를 전파하는 수단으로 활용된 사례가 급증했다”고 설명했다.
▲ 2013년 포티가드랩에 보고된 가장 많이 악용된 10대 악성코드군

크립토락커는 랜섬웨어에 한 획을 그은 악성코드로 피해자의 컴퓨터 내 콘텐츠와 맵트 드라이브(Mapped drive: 네트워크 연결 드라이브)에 차별화되는 암호화 키 쌍을 생성해서 걸어둔 후 피해자에게 단시간에 랜섬(Ransom) 금액을 지불하라고 통보하는 방식을 가지고 있다. 랜섬 금액은 몇백달러가 될 때도 있으며 암호통화(Cryptocurrency)인 비트코인(Bitcoin)으로 지불하는 게 보편적이다. 해커가 암호화 키를 해제해주지 않으면 피해자의 컴퓨터 파일은 복구할 수단이 없다.

이러한 악성코드의 피해자는 사진, 홈비디오 등의 개인정보 파일을 잃는 개인 사용자부터 기업체, 공공기관까지 그 대상이 광범위하다. 또한 크립토락커는 감염된 플래시 드라이브와 파일 공유 웹사이트 및 이메일 첨부파일로 전파되는 가짜 프로그램 활성화 툴을 이용해서 사용자의 컴퓨터를 감염시킨다.

포티넷의 포티가드랩은 해커들이 찾아낼 가능성이 높은 관련 솔루션이 지닌 제로데이(Zero-day) 공격코드에 대한 취약점을 능동적으로 연구하고 발견하는 데 주력하고 있다. 포티가드랩은 취약점 발견시 포티가드랩의 ‘책임 공개(Responsible Disclosure)’ 가이드라인에 따라 해당 업체에 기밀로 전달한다. 포티가드랩은 2006년 관련 연구를 시작한 이래 현재까지 142건의 제로데이 취약점을 발견했으며 아직 14건의 패치작업이 미완료된 상태다. 2013년에는 신규 제로데이 18건을 발견하고 이를 공개했으며 12건의 패치작업이 미완료된 상태다. 대다수의 취약점 관련 사안은 ‘중요(Important)’ 또는 ‘중대(Critical)’로 기밀 분류됐다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.