보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

전 세계 9천여 대 서버·PC ‘폼북’ 악성코드에 당했다! 한국 311대 감염

입력 : 2020-07-22 23:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
감염 PC의 계정정보, 데이터 통신 내용 등 탈취... 6~7월 전 세계 감염 PC 급증
에스투더블유랩, 다크웹에서 품복 관리·운영 사이트 탐지해 분석중


[보안뉴스 권 준 기자] 전 세계 9천여 대의 서버 또는 개인 PC가 악성코드의 일종인 폼북(FormBook) 봇넷에 감염된 것으로 추정된다.

다크웹 위협정보 탐지 전문업체 에스투더블유랩(S2WLAB)은 다크웹에서 폼북의 운영·관리용으로 추정되는 사이트를 탐지해 현재 분석 중에 있다고 밝혔다. 이는 최신 봇넷이 전 세계를 대상으로 다크웹에서 체계적으로 관리되는 정황을 탐지한 첫 사례에 해당된다.

▲전 세계 폼북 악성코드 감염현황[자료=에스투더블유랩]


폼북은 이메일 첨부파일 등 다양한 형태로 감염되며, PC에 설치되면 해당 PC의 계정정보, 데이터 통신 내용 등을 지속적으로 명령제어(C&C) 서버로 전송된다. 폼북은 다크웹에서 판매되고 있는 악성코드의 일종으로 여러 버전이 있으나, 현재 발견된 버전은 최신 변종 형태로 추정된다.

에스투더블유랩은 9천여 개 PC의 IP 주소 중에서 국내로 특정되는 IP에 대해서 우선적으로 파악해 한국인터넷진흥원 등 관련기관에 전달했으며, 폼북에 감염된 서버나 PC를 보유한 기업 및 기관은 21일 모두 대응조치가 완료된 것으로 알려졌다.

현재 폼북 악성코드의 최대 확산 국가는 중국(1,976대), 터키(647대), 미국(566대), 인도(480대) 순으로, 한국의 경우 311대로 확산대수 기준 7위에 해당되는 것으로 분석됐다. 최초 감염지는 유럽으로, 감염 PC 대수는 실시간으로 증감하고 있으며 올해 6~7월을 기점으로 폭발적인 증가세를 보이고 있는 것으로 드러났다.

감염 IP 분석 결과에 따르면 C&C 서버와 통신이 매우 짧게 이뤄진 경우도 있지만, 장시간 동일한 C&C 서버와 통신이 진행된 경우도 있어 지속적인 정보 탈취 가능성 등 추가 피해가 우려된다.

에스투더블유랩의 서상덕 대표는 “다크웹발 위협이 마약, 음란물 등 민생 범죄를 넘어서 악성코드 거래나 공격과 같은 보안 위협으로 더 활성화될 것으로 우려된다”며, “익명 네트워크의 악용을 막는 데는 국제 공조가 필요하며 이러한 활동에 우리도 최선을 다할 것”이라고 말했다.

또한, 곽경주 인텔리전스 팀장은 “폼북에 대한 추가적인 분석 내용을 계속 공유하고, 앞으로도 이러한 공격 시도들이 파악되는 즉시 국내 기업과 기관을 보호하기 위해 지속적으로 노력하겠다”고 밝혔다.

한편, 에스투더블유랩은 지난 2월 미국 샌프란시스코에서 열린 RSAC 2020에 독립부스로 참가, 다크웹에서의 위협정보를 탐지할 수 있는 솔루션 등 사이버위협 대응을 위한 빅데이터 분석 솔루션을 소개해 주목을 받은 바 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대