“가장 위험한 악성코드” 트릭봇, 구글 지메일도 감염

가 +
가 -

만일 악성코드가 유기 생명체였다면, 세상은 역사상 최악의 위기를 맞게 되었을지도 모른다. 악성코드 ‘트릭봇(TrickBot)’은 2016년 처음 확인된 이후 맹위를 떨치고 있다. 기업과 정부기관은 트릭봇을 가장 위험한 악성코드로 분류하고 있다. 전문가들은 트릭봇이 현재까지 2억5천만건의 이메일 계정을 감염시킨 것으로 추정하고 있다.

트릭봇과 그 영향을 주의 깊게 살펴보고 있는 보안업체 딥인스팅트에 따르면 이 악성코드가 최근 더 진화했다. 대표적인 예가 트릭부스터(TrickBooster)다. 감염된 기기를 통해 다른 기기로의 악성코드를 빠르게 번식시키는 기능을 한다. 트릭봇은 금전갈취 악성코드의 일종이다. 예를 들자면 인사부서 앞으로 보내는 이력서 등을 가장해 확산한다. 마이크로소프트 워드나 엑셀에서 파일을 여는 동시에 악성코드를 퍼트려 기기를 감염시킨다.

| 트릭부스터 감염 경로를 보여주는 인포그래픽

감염 통로는 다양하지만, 전형적인 예가 마이크로소프트 윈도우에서 사용되는 SMB(Server Message Block) 프로토콜을 통하는 거다. SMB는 윈도우 컴퓨터에서 동일한 네트워크를 통한 파일과 프린터를 공유하는데 사용되며, 이런 공유 리소스에 대한 인증도 처리한다. 따라서 조직 내의 하나의 컴퓨터가 악성코드에 노출되면 순식간에 조직 전체로 퍼진다. 트릭봇의 진화 버전인 트릭부스터는 조직 내의 컴퓨터를 탈취하고 다른 컴퓨터에 트릭봇을 이메일로 전송한다. 이렇게 하면 악성코드가 대규모로 확산될 수 있다.

딥인스팅트에 따르면 전세계적으로 2억5천만건의 이메일 계정이 트릭봇에 노출됐다. 그중 2500만건은 구글 지메일이며 야후(2100만건), 핫메일(1100만건)이 다음으로 많았다. AOL(MSN 포함)은 1000만건이다. 딥인스팅트는 수많은 정부 관련 이메일 계정도 안전하지 못하다고 지적한다. 트릭봇에 노출된 이메일 주소의 일부에는 미국 법무부와 국무부, 국토안보부, 우정국이 포함돼 있다. 미국 국세청과 나사의 이메일 계정도 노출됐다. 캐나다와 영국 정부의 이메일 계정도 데이터베이스에서 발견되었다.

평소 보안 습관을 유지하는 게 중요

오늘날 악성코드는 전문적인 해커에 의해 만들어지고 배포된다. 대부분 사용자들은 자신도 모르게 악성코드에 감염된다. 사용자들은 믿을만한 사이트 내지 계정으로부터 필요한 프로그램, 파일을 내려받았다고 생각한다. 사실 그러한 사이트나 위에서 언급했듯이 어떤 이메일 서비스도 안전하다고 할 수 없다. 악성코드는 보통 정상적인 웹사이트와 이메일 계정에 침입하여 감염시킨다.

결국 개인 사용자는 평소 보안 습관을 유지하는 것이 가장 좋은 방법이다. 운영체제를 최신 버전으로 업데이트하고 중요하다는 공지가 붙은 보안 패치는 반드시 하고 다중인증 로그인과 복잡하고 고유한 암호를 사용하고 불필요한 네트워크 서비스는 비활성화함으로써 악성코드 노출 빈도를 줄일 수 있다.

네티즌의견(총 0개)