스팸 유포·디도스 공격까지…다기능 악성코드 '증가'

[아이뉴스24 성지은 기자] 여러 기능을 수행하는 '다기능 악성코드'가 증가한 것으로 나타났다.

러시아 보안기업 카스퍼스키랩은 이 같은 내용을 담은 '2018년 상반기 봇넷 활동 결산 보고서'를 7일 발표했다.

이 보고서는 6만여개의 봇넷에서 유포된 150종 이상의 악성코드와 그 변종에 대한 분석 결과를 담았다. 봇넷이란 악성코드에 감염돼 해커가 마음대로 제어할 수 있는 좀비 시스템으로 구성된 네트워크를 뜻한다.

보고서에 따르면, 올해 상반기 봇넷을 통해 유포된 악성코드 중 단일 기능을 수행하는 프로그램의 비중은 지난해 하반기에 비해 크게 줄었다.

지난해 하반기 봇넷을 통해 유포된 전체 악성파일 중 뱅킹 트로이목마가 차지한 비중은 22.46%였는데, 올 상반기에는 9.21% 감소한 13.25%로 집계됐다.

스팸 봇의 비중 또한 지난해 하반기 18.93%에서 올해 상반기 12.23%로 줄어들었다. 디도스(DDoS) 봇도 유사한 경향을 드러내며 지난해 하반기 2.66%에서 올 상반기 1.99%로 감소했다.

반면 다기능 악성코드는 두드러진 증가세를 보였다. 특히 원격접속도구(RAT) 악성코드는 감염된 PC를 언제든 악용할 수 있는 점 때문에 해커들이 애용하는 양상을 보였다.

봇넷을 통해 유포된 악성코드 중 RAT 파일 비중은 지난해 상반기 6.55%에서 올 상반기 12.22%로 2배 증가했다.

특히 엔제이랫(Njrat), 다크코멧(DarkComet), 나노코어(Nanocore) 같은 RAT 사용이 많았다. 이 세 가지 악성코드는 백도어 구조가 비슷해 아마추어 해커도 쉽게 변조할 수 있고, 특정 지역에서 악성코드를 유포하기 위한 목적으로 변경할 수 있다고 회사 측은 설명했다.

이창훈 카스퍼스키랩코리아 지사장은 "봇넷을 확보하는 데는 큰 비용이 들고 수익을 내기 위해 범죄자는 악성코드를 최대한 많이 활용해야 한다"며 "다기능 악성코드로 구성된 봇넷은 그 기능을 비교적 빠르게 변경해 스팸, 디도스, 뱅킹 트로이목마 유포 등 다양한 공격 작업에 활용할 수 있다"고 설명했다.

이어 "이러한 특성 덕분에 봇넷 소유자는 다양한 사이버 범죄 모델을 오가며 수입을 올리고, 봇넷을 다른 범죄자에게 대여해 간접적으로 소득을 올릴 수 있다"고 덧붙였다.