[디지털투데이 박건도 기자] 2월 악성 봇 감염이 글로벌 기준 전월 대비 78.01% 증가했다는 보고서가 발표됐다.

로그프레소는 이달 사이버위협인텔리전스(CTI) 리포트를 통해 악성 봇 감염으로 국내외 이커머스 서비스의 크리덴셜이 지속적으로 유출되고 있다고 25일 밝혔다. 

로그프레소는 "이커머스 서비스 사업자는 크리덴셜 유출 여부를 사용자에게 안내해 빠르게 대응할 수 있도록 도와야 한다"며 "사용자는 서비스별로 암호를 다르게 설정하거나 이중인증 체계를 이용해 계정 보안을 강화해야 한다"고 말했다.

또한 로그프레소는 CTI 리포트에서 국산 보안 프로그램으로 위장한 악성코드 '트롤에이전트(TrollAgent)'를 분석했다.  

해킹그룹 김수키(Kimsuky)에서 배포하는 트롤에이전트는 국내 특정 홈페이지 로그인에 필요한 전자문서 및 증명서 위변조 방지 프로그램으로 위장해 설치를 유도한다. 국내 방산업체 인증서로 서명해 악성코드 탐지를 회피해 사용자로부터 의심을 피하는 수법을 활용한다.

해당 악성코드가 실행되면 수집된 다양한 정보가 서버로 전송된다. 공인인증서(GPKI) 디렉토리를 탈취하는 기능을 포함하고 있어 국내 공공기관을 주 공격대상으로 삼고 있다. 

장상근 로그프레소 연구소장은 "악성 봇 감염으로 인한 크리덴셜 정보의 노출이 꾸준히 증가하는 추세"라며 "악성 봇 감염의 주된 원인은 불법 소프트웨어 설치로, 이를 주의할 필요가 있다"고 말했다.