국내 실제 악성코드 유포 현황과 백신이 탐지하지 못하는 알려지지 않은 위협들에 대한 자세한 정보들을 주간, 월간 단위로 제공하고 있는 빛스캔(대표 문일준)은 5월 1주차 인터넷 위협 분석 보고서에서 일부 민감한 내용을 제외하고 현재 우리나라의 악성코드 유포 실태에 대해 리포트하고 있다. 이 보고서는 악성코드 감염에 의한 기업과 공공기관의 보안위협을 미리 차단하는데 여러모로 도움이 될 것으로 보인다. 
 
전상훈 빛스캔 기술이사는 “Mass SQL Injection과 같이 대규모로 발생하는 공격들은 아마 이 정보제공에서 최초 공개가 될 수 있을 것이고 그 외의 악의적 링크들은 보고서들에만 기술될 수 있어서 본 게시물에서는 공개가 불가하다”며 “또한 보고서 상에는 악성링크로 활용이 될 때에는 원칙에 따라 보고서 상에 공개를 하고 있으며 국내의 서비스들이 악성링크에 이용이 된 경우에도 원칙대로 공개된다”고 설명했다.
 
이 위협보고서 서비스를 통해 얻을 수 있는 다양한 활용으로는 업데이트에 대한 강력한 권고(이번 주는 Java 업데이트 이슈), 대응을 위한 차단 정책 적용, 감염되었을 경우 사고대응 참고, 게임사들은 고객의 계정정보 보호를 위한 다양한 기술적 보호 방안 강구 등이 될 수 있다.  
 
보고서 내용에 따라, 5월 1주차에 발생됐던 위협들에 대해 정리를 해보면 예상 되었던 위협들은 그대로 진행이 되고 있다. 다만 출현 범위는 줄어든 상태를 보이고 있다.
 
전 이사는 “전체적으로 공격을 당한 곳들은 동일한 수치를 보이고 있으나 분석 대상에 포함되지 않은 것은 이전에 활용했던 악성링크들을 대거 재활용하는 경향을 보이고 있어서 전체적인 분석 카운트는 줄어들었다”고 말하고 그러나 “현재 상황은 위협이 줄어든 것이 아니라 대응이 되지 않는 상황이라서 자유롭게 공격자들이 재활용을 하는 상황에 도달한 것으로 보고 있다”고 경고했다.
 
각 기술분석 보고서들의 분류는 공격하는 취약성 집합에 따라 분류가 되어 있고 Java applet 취약성인 CVE-2012-0507 취약성을 단독 이용하거나 결합된 형태로 이용하는 사례가 증가하고 있다고 전했다.
 
전 이사는 “기술 보고서에는 간략하게 언급이 되어 있지만 전문분석에는 디컴파일된 형태에서 기능과 역할에 대한 부분들이 분석 되어 있다”고 밝히고 “이외에도 다양한 전문분석 부분들이 진행이 되고 있으며 완료 되는대로 순차적으로 해당 서비스 고객들에게 전달 될 예정”이라고 설명했다.
 
5월 1주차 악성코드 공격의 특징에 대해 빛스캔 보고서는 다음과 같이 요약하고 있다.   
-CVE 2012-0507(Java Applet 신규 취약성) 공격 계속
-해외 호스팅 영역을 통한 IP 변경된 공격 지속 관찰
-국내 대학의 서버를 활용한 악성코드 유포 계속
-파일 공유 및 언론사를 통한 유포시도 감소
-이전 출현했던 악성링크의 재활용 계속 증가(차단이 안되고 있어 계속 활용 되고 있다.)
-배너, 태그 광고 링크에 대한 공격 지속(태그 광고 1곳, 배너광고 1곳)
-Mass SQL Injection 최초 유형 발견 2곳 시작됨(uhijku.com/r.php, http://uhjiku.com/r.php )
 
Mass sql 공격 관련 정보는 www.symantec.com/connect/blogs 이곳을 참고 하면 된다.
 
빛스캔 측은 “Mass SQL Injection 공격은 국내에도 빠르게 확산 되고 있으며 보고서를 작성 하는 시점에도 추가 유형이 발견 되고 있다. CVE-2012-0507 유형이 같이 사용 되고 있으며, 전문분석을 참고하여 사내 임직원들에게 강력한 보안 패치 정책을 권고해야 한다”며 “내부 망의 사용자 PC가 한대라도 권한 획득을 당했을 경우 그 위험성은 충분히 인지하고 있을 것이다. APT 공격의 시작이 되는 것이다. 다양한 대책을 통해 위험을 계속 줄여 나가는 것이 중요하다”고 조언했다.
 
또 보고서에는 5월 1주차 차단 권고 IP 대역을 명시하고 있으며 이 IP 대역은 공격자가 전체 제어권을 가지고 있어서 지속적으로 공격에 활용할 곳으로 지목하고 있다. 차단이 필요한 상황이라고 강조했다.
 
또 실제 위협 보고서에는 5월 1주차 악성코드 유포지나 악성링크로 활용된 곳들을 명시하고 있으며 또한 어린이날을 맞아 모 사이트와 같은 곳에서 악성코드를 뿌릴 수 있도록 집중적으로 공격해 악성코드에 감염을 시키려는 꼼꼼한 면도 공격자들이 보여주고 있다고 한다. 즉 한국 상황을 철저하게 분석해서 시기에 맞게 이용자들이 몰릴 수 있는 사이트에 악성코드를 심어 놓고 감염 PC를 늘려가고 있다는 것이다.
 
현재 빛스캔 인터넷 위협 분석 보고서는 공공기관과 대기업을 중심으로 유료 서비스가 이루어지고 있으며 매주 수요일 발간되어 배포되는 주간 서비스는 4회(1달) 정도 시범 서비스를 신청할 수 있다고 한다.
 
구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr로 메일을 보내면 된다. 메일에는 기관명, 담당자, 연락처를 기재해 보내면 서비스 신청 및 시범 서비스를 받아 볼 수 있다.
[데일리시큐=길민권 기자]