한국은 지난해 말 기준 전세계 온라인 위협 공격을 세계에서 두번째로 많이 받고 있는 국가로 조사됐다. 악성코드 공격자들은 어도비 플래시나 MS, 자바 등의 제로데이 취약점 뿐만 아니라 이미 공개된 취약점을 악용해 대규모 악성코드 공격 네트워크를 형성해 가고 있다. 일반인들의 보안인식 부족으로 제대로 보안패치를 하지 않고 있기 때문에 공격성공률이 60%를 넘고 있으며 한국도 심각한 감염수준에 피해가 확산되고 있다.  
 
이에 빛스캔(문일준 대표)은 PCDS(Pre Crime Detect System) 엔진을 활용해 온라인 위협에 대한 최신 데이터를 수집하고 있다. 이를 통해 국내외 130만 개 웹사이트의 비정상 링크를 탐지하고 데이터를 누적해 전문분석을 진행하고 있다. 이러한 데이터와 분석 내용을 바탕으로 악성코드에 의한 리스크에 공공과 기업들이 사전에 대응할 수 있는 다양한 서비스를 제공하고 있다.
 
빛스캔에서 분석해서 발표하는 보고서 형태는 ‘주간동향보고서’와 공격 기법과 구조 분석을 제공하는 ‘기술보고서’, 신규 공격 기법 발생시마다 수시로 제공하는 ‘전문분석보고서’ 등이다.

 
◇주간동향 보고서는 주간 단위의 공격 변화와 트랜드에 대해 설명하며 공격에 이용되는 기법들에 대해 개략화된 정보를 제공한다. 또 국내 유포 현황도 일부 공개되며 해외 동향도 전달된다.
 
◇기술보고서는 KAIST CSRC와 빛스캔이 공동으로 분석한 내용으로 웹을 통해 유포되는 악성코드에 대한 구조도와 구성에 대한 분석이 주를 이루고 최종 악성코드가 다운로드 된 곳들의 주소를 보여준다.
 
◇전문분석 보고서는 새로운 공격기법이나 신규 유형의 익스플로잇 기법 출현시 상세 분석 및 악성코드 분석을 리포트하고 있다. 이 또한 KAIST와 빛스캔이 공동으로 진행한다.
 
전문분석 보고서는 해외 보안 전문가들의 공격 기법을 공개하고 분석 자료를 전세계 전문가들과공유하기 위한 목적으로 세계적 수준의 사이트에 게재하는 형태다.
 
또 온라인 상의 공격기법에 대한 실제적이고 깊이 있는 전문분석을 통해 즉시 현업에서 적용할 수 있는 내용들로 이루어져 있다.
 
빛스캔의 정보제공 서비스는 해외 글로벌 기업의 분석자료와 비교해도 우위를 점하고 있다. 가장큰 차이는 바로 S사는 IDS/IPS, FW 로그를 활용한 사후통계 방식인데 반해 빛스캔 정보는 국내 110만개, 해외 20만개 도메인에서 크롤링 기반의 PCDS 엔진을 사용해 사전대응 정보를 제공하고 있다는데 차별점이 있다.
 
특징을 살펴보면, S사는 바이러스 통계 정보와 세계적 위협에 대한 대응 정보 제공, 전세계 대규모 에이전트를 활용한 정보가 주를 이루는 반면 빛스캔은 국내에서 대규모로 확산되는 정보를 사전에 분석해 보고하고 실제 한국 내에 웹을 통해 대규모로 악성코드를 유포하는 국내 타깃 위협 분석 정보를 제공한다. 또 미 등록된 패턴 초기 상태의 공격 링크와 악성코드 분석 정보를 제공한다. 또 한국 내에 극심하게 발생하는 특화된 정보도 제공하고 있는 것이 특징이다. 더불어 제로데이에 대한 분석도 가능해 기업들이 사전에 대응할 수 있는 정보를 정기적으로 제공하고 있다는 점이다.
 
전상훈 빛스캔 기술이사는 “최근 악성코드 공격은 거대한 맬웨어 네트워크를 형성하고 있다. 여러가지 취약점을 한꺼번에 이용하고 있으며 그 중 하나라도 허점이 보이면 바로 감염을 일으키고 있다. 이를 통해 APT 공격이 이루어지고 있고 최근 공격자들은 감염 IP대역을 스캔해 자신들이 원하는 기업을 대상으로 타깃 공격을 해 오고 있다”며 “이러한 악성코드 공격에 대응하기 위해서는 지금까지의 사후대응으로는 어림도 없다. 사전에 정보를 입수해 사내 PC가 악성링크가 걸려있는 사이트에 접근하는 것을 원천적으로 차단하는 것이 가장 중요하다. 악성코드 감염 예방에 대한 기업들의 인식 개선이 이루어져야 근본적인 문제가 해결 될 것”이라고 말했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com