‘폼북’ 감염 글로벌 9천대, 한국은 311대..에스투더블유랩

by김현아 기자
2020.07.22 17:32:36

[이데일리 김현아 기자]정보탈취형 악성코드인 ‘폼북’에 감염된 PC와 서버가 전세계적으로 9000여대, 한국은 311대 정도인 것으로 추정됐다.

‘폼북(FormBook)’에 감염되면 해커는 PC에 입력하는 정보를 그대로 탈취할 수 있고 브라우저에 저장된 이메일 등 계정 정보도 가져갈 수 있다,

다크웹에서 폼북 운영·관리용으로 추정되는 사이트를 탐지한 국내 스타트업 에스투더블유랩은 22일 “전세계 900여대의 서버 또는 개인 PC가 폼북(FormBook) 봇넷(악성코드의 일종)에 감염된 것으로 추정된다”면서 “현재 최대 확산 국가는 중국(1976대), 터키(647대), 미국(566대), 인도(480대)이며 한국은 확산대수 기준 7위 (311대)”라고 밝혔다.

감염 PC 대수는 실시간으로 증감하고 있으며 최초 감염지는 유럽이라고도 했다. 올해 6~7월을 기점으로 폭발적인 증가세를 보이는 것도 특징이다.

에스투더블유랩은 인터넷 암시장인 다크웹에서 폼북 운영·관리용으로 추정되는 사이트를 탐지해 현재 분석 중에 있다. 이는 최신 봇넷이 전세계를 대상으로 다크웹에서 체계적으로 관리되는 정황을 탐지한 첫 사례이기도 하다.

▲사이버위협 분석업체 에스투더블유랩 로고

폼북은 이메일 첨부파일 등 다양한 형태로 감염되며, PC에 설치되면 해당 PC의 계정정보, 데이터 통신 내용 등을 지속적으로 제어서버 (C2)로 전송한다. 폼북은 다크웹에서 판매되고 있는 악성코드의 일종으로 여러 버전이 있으나, 현재 발견된 버전은 최신 변종 형태로 추정된다.

에스투더블유랩은 9000여 개 PC의 IP 주소 중에서 국내로 특정되는 IP에 대해 우선 파악해 한국인터넷진흥원 등 관련기관에 전달했다. 또, 국내 기업과 기관은 21일 모두 대응 조치 완료한 것으로 파악된다고 회사 측은 밝혔다.

하지만 감염 IP를 분석해보니 짧은 시간 C2 서버와 통신이 이뤄진 경우도 있지만, 장시간 동일 C2 서버와 통신이 이뤄진 경우도 있어 주의가 필요하다.

서상덕 에스투더블유랩 대표는 “다크웹 發 위협이 마약, 음란물 등 민생 범죄를 넘어서 악성코드 거래나 공격과 같은 보안 위협으로 더 활성화 될 것으로 예상된다. 익명 네트워크의 악용을 막는 일은 국제 공조가 필요하며 우리도 최선을 다하겠다”고 말했다.

곽경주 인텔리전스 팀장은 “폼북에 대한 추가적인 분석 내용을 계속 공유하고, 앞으로도 이러한 공격 시도들이 파악되는 즉시 국내 기업과 기관을 보호하기 위해 계속 노력하겠다”고 전했다.