아카마이 연구진은 “기업과 가정 사용자의 악성 DNS 트래픽을 분석한 결과, 안드로이드 기반 맬웨어 플루봇(FluBot)의 확산, 기업을 겨냥한 여러 사이버 범죄 그룹의 등장 등을 발견할 수 있었다. 주목할 사항은 서비스형 랜섬웨어(RaaS) 그룹처럼, 기업 네트워크를 침해하고 액세스 정보를 판매하는 IAB와 관련된 C2 트래픽이 많이 증가했다는 점”이라고 말했다.
아카마이는 글로벌 CDN과 클라우드 및 보안 서비스용 대규모 DNS 인프라를 운영하며, 하루에 최대 7조 건의 DNS 요청을 모니터링한다. DNS 쿼리는 도메인 이름의 IP 주소를 확인하기 때문에, 아카마이는 기업 네트워크에서 발생한 요청을 알려진 악성 도메인(예: 피싱 페이지를 호스팅하거나 맬웨어를 전송하거나 C2에 사용되는 도메인 등)으로 매핑할 수 있다고 설명했다.
보고서에 의하면 분기마다 DNS 요청을 하는 기기 중 9~13%가 맬웨어를 제공하는 도메인에 접속하려고 시도했다. 이 가운데 4~6%는 알려진 피싱 도메인, 0.7~1%는 C2 도메인이었다. 언뜻 보기에 C2 도메인의 비율이 맬웨어 도메인에 비해 작아 보일 수 있지만, 하루에 7조 건의 DNS 요청을 생성하는 매우 큰 규모를 이야기하고 있다는 점을 고려해야 한다. 또 맬웨어 호스팅 도메인 요청은 맬웨어 실행 전에 탐지 및 차단될 수 있어 항상 성공적이진 않다. 하지만 C2 도메인 쿼리는 맬웨어 감염을 나타낸다.
기업 네트워크에는 수천 또는 수만 개의 기기가 있을 수 있고, 공격자는 내부 공격(lateral movement) 기법을 사용한다는 점에서 감염된 기기 한 대가 네트워크 전체를 장악할 수 있다. 아카마이의 C2 DNS 데이터를 기업별로 살펴보면 지난해 10곳 중 1곳 이상의 기업에서 침해 사고가 발생한 것으로 드러났다.
연구진은 “DNS 데이터에 따르면 악성 C2 트래픽이 발생한 기업의 30% 이상이 제조업인 것으로 조사됐다. 비즈니스 서비스(15%), 첨단 기술(14%), 커머스(12%) 부문이 그 뒤를 이었다. 상위 2개 업종(제조와 비즈니스 서비스)은 콘티(Conti) 랜섬웨어의 주요 피해 산업이기도 했다”라고 설명했다.
악성 트래픽의 44%를 차지하는 봇넷
아카마이는 C2 트래픽을 봇넷, IAB, 인포스틸러, 랜섬웨어, RAT 등 여러 카테고리로 세분화했다. 봇넷은 악성 C2 트래픽의 44%를 차지하는 가장 큰 카테고리였다. 널리 알려진 봇넷인 이모텟(Emotet)과 칵봇(Qakbot)은 시스템 액세스 권한을 판매하기 때문에 IAB 카테고리에 포함됐다. 하지만 대부분 봇넷은 기술적으로 추가 맬웨어 프로그램 페이로드를 제공하며, 소유자가 이 서비스를 공개적으로 판매하지 않더라도 일부는 비공개적인 거래를 한다. 예를 들면 트릭봇(TrickBot) 봇넷은 류크(Ryuk) 랜섬웨어의 배후에 있는 사이버 범죄자와 비공개적 협력 관계를 맺었다.엔터프라이즈 환경의 C2 트래픽에서 아카마이가 관찰한 가장 큰 규모의 봇넷은 오래된 QNAP NAS 기기의 펌웨어를 감염시키는 맬웨어 기반의 큐스내치(QSnatch)였다. 큐스내치는 2014년 처음 등장했으며, 현재까지도 활성화돼 있다. CISA 권고에 따르면 2020년 중반 현재 전 세계적으로 6만 2,000개의 기기가 감염됐다. 큐스내치는 보안 업데이트 차단, 자격증명 스크래핑, 비밀번호 로깅, 원격 액세스 및 데이터 유출에 사용된다.
이어 IAB가 2위를 차지했다. 이 그룹에서 가장 큰 위협은 감염된 모든 기기의 22%를 차지한 이모텟과 4%에 해당되는 칵봇이었다. 이모텟은 여러 사이버 범죄 그룹이 기업 네트워크에 처음 액세스할 때 사용하는 오래된 봇넷 중 하나다. 아울러 이모텟은 트릭봇과 칵봇을 비롯한 다른 봇넷을 배포하는 데도 수년 동안 사용됐다.
지난 2021년 미국, 영국, 캐나다, 독일, 네덜란드를 포함한 여러 국가의 법 집행 기관이 봇넷의 명령 및 제어 인프라를 장악하는 데 성공했다. 하지만 오래가진 못했고, 봇넷은 새로운 버전으로 다시 등장했다. 이모텟은 온라인 뱅킹 트로이 목마로 시작했지만, 여러 모듈을 갖춘 맬웨어 플랫폼으로 변모해 이메일 탈취, 디도스 공격 실행 등의 기능을 제공한다. 이모텟은 랜섬웨어 그룹, 특히 콘티와 관련 있는 것으로 알려져 있다.
이모텟과 마찬가지로 칵봇도 추가 페이로드 제공에 사용되는 봇넷이다. 랜섬웨어 그룹 블랙 바스타(Black Basta)와 협력 관계를 맺고 있다. 또 이 맬웨어는 코발트 스트라이크(Cobalt Strike) 침투 테스트 도구를 활용하고, 정보 탈취 기능을 갖춘 것으로 알려져 있다.
봇넷은 랜섬웨어를 전송하는 것으로 알려져 있지만, 일단 배포되면 자체 C2가 있으며, 이 C2는 아카마이의 DNS 데이터에도 나타난다. C2 트래픽을 생성한 기기 중 9% 이상이 알려진 랜섬웨어 위협과 관련된 도메인 이름으로 트래픽을 전송했다. 가장 흔한 랜섬웨어는 레빌(REvil)과 록빗(LockBit)이었다.
아카마이 연구진은 “최신 랜덤웨어 그룹의 방법론을 분석한 결과, 공격을 빠르고 효율적으로 하기 위해 공격자에게 ‘키보드 조작’을 맡기는 사례가 많았다. C2 트래픽을 확인하고 차단하는 기능은 공격을 막는 데 핵심 역할을 할 수 있다”라고 전했다.
인포스틸러(16%)는 3번째로 인기 있는 카테고리였다. 이 맬웨어 프로그램은 다양한 서비스의 사용자 이름과 비밀번호, 브라우저에 저장된 인증 쿠키, 다른 애플리케이션에 로컬로 저장된 기타 인증정보 등 가치 있는 정보를 훔치는 데 사용된다. 추가 맬웨어를 배포할 수 있는 모듈형 인포스틸러 램닛(Ramnit)이 인포스틸러에서 가장 많이 발견된 위협이었다.
이 밖에 C2 트래픽에서 발견된 다른 주목할 만한 위협으로는 코발트 스트라이크, 에이전트 테슬라 RAT, 피크스파 웜, 바이루트 다형성 바이러스 등이 있었다.
editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.