기업 환경에 대한 최대 봇넷 위협으로 큐스내치(QSnatch) 감염이 지목됐다. 활동이 시작되면 서버 가동 중단, 데이터 유출, 서비스 중단 위험을 야기하는 큐스내치 감염은 지난해 전세계 기업의 12% 에서 공격 흔적이 발견될 정도로 왕성한 공격중 하나다.
아카마이가 공개한 인터넷 현황 보고서는 악성 DNS(Domain Name System) 트래픽으로 인해 아시아태평양지역(이하 아태지역)의 기업 및 소비자 대상으로 이뤄지는 위협을 다루고 있다.
큐스내치(Qsnatch)는 백업 또는 파일 저장에 사용되는 NAS(Network Attached Storage) 디바이스 업체인 큐냅(QNAP)을 표적으로 하는 악성코드다. 관련 디바이스 중 큐스내치에 감염된 비율은 60%에 달했으며, 감염된 아태지역 디바이스의 숫자는 북미에 이어 전 세계 2위 규모다.
감염된 디바이스는 기업 지휘통제(Command and Control, 이하 C2) 트래픽 증가라는 특징이 보고됐다. 특히 전 세계 10%에서 16%에 달하는 기업이 매 분기 사내 네트워크에서 C2 트래픽을 발견하는데, 이는 공격 또는 침입이 진행 중일 가능성을 의미한다.
아카마이는 아태지역에서 영향을 받은 디바이스 중 약 15%가 초기 접근 브로커(Initial Access Broker, IAB) 도메인으로 향하는 것을 파악했다. 이들 브로커는 사이버 범죄 조직으로, 유출된 네트워크에 무단 접속할 수 있는 권한을 랜섬웨어 그룹과 같은 사이버 범죄자들에게 판매해 수익을 창출한다.
이와 같은 활동 규모는 아태지역에서 가장 높은 것으로 보고됐다. 지난 2022년 하반기 아태지역의 악성 쿼리 수는 전 세계 2위였던 북미보다 두 배나 많았다. 또한, 아태지역에서 3억 5천만 건 이상의 쿼리가 Pykspa(스카이프를 통해 감염된 사용자의 연락처로 악성 링크를 전송해 정보를 빼내는 웜)에 관련되어 있는 것으로 확인됐다.
By 김현동 에디터 Hyundong.Kim@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉
