‘폼북(FormBook)’에 감염되면 해커는 PC에 입력하는 정보를 그대로 탈취할 수 있고 브라우저에 저장된 이메일 등 계정 정보도 가져갈 수 있다,
다크웹에서 폼북 운영·관리용으로 추정되는 사이트를 탐지한 국내 스타트업 에스투더블유랩은 22일 “전세계 900여대의 서버 또는 개인 PC가 폼북(FormBook) 봇넷(악성코드의 일종)에 감염된 것으로 추정된다”면서 “현재 최대 확산 국가는 중국(1976대), 터키(647대), 미국(566대), 인도(480대)이며 한국은 확산대수 기준 7위 (311대)”라고 밝혔다.
감염 PC 대수는 실시간으로 증감하고 있으며 최초 감염지는 유럽이라고도 했다. 올해 6~7월을 기점으로 폭발적인 증가세를 보이는 것도 특징이다.
에스투더블유랩은 인터넷 암시장인 다크웹에서 폼북 운영·관리용으로 추정되는 사이트를 탐지해 현재 분석 중에 있다. 이는 최신 봇넷이 전세계를 대상으로 다크웹에서 체계적으로 관리되는 정황을 탐지한 첫 사례이기도 하다.
|
폼북은 이메일 첨부파일 등 다양한 형태로 감염되며, PC에 설치되면 해당 PC의 계정정보, 데이터 통신 내용 등을 지속적으로 제어서버 (C2)로 전송한다. 폼북은 다크웹에서 판매되고 있는 악성코드의 일종으로 여러 버전이 있으나, 현재 발견된 버전은 최신 변종 형태로 추정된다.
국내 기업과 기관은 21일 대응 조치 완료
하지만 감염 IP를 분석해보니 짧은 시간 C2 서버와 통신이 이뤄진 경우도 있지만, 장시간 동일 C2 서버와 통신이 이뤄진 경우도 있어 주의가 필요하다.
서상덕 에스투더블유랩 대표는 “다크웹 發 위협이 마약, 음란물 등 민생 범죄를 넘어서 악성코드 거래나 공격과 같은 보안 위협으로 더 활성화 될 것으로 예상된다. 익명 네트워크의 악용을 막는 일은 국제 공조가 필요하며 우리도 최선을 다하겠다”고 말했다.
곽경주 인텔리전스 팀장은 “폼북에 대한 추가적인 분석 내용을 계속 공유하고, 앞으로도 이러한 공격 시도들이 파악되는 즉시 국내 기업과 기관을 보호하기 위해 계속 노력하겠다”고 전했다.