2021-11-27 13:55 (토)
상반기 악성코드 은닉사이트 49%↑…제조업 사이트 악용 비율 급증
상태바
상반기 악성코드 은닉사이트 49%↑…제조업 사이트 악용 비율 급증
  • 길민권 기자
  • 승인 2021.08.25 00:52
이 기사를 공유합니다

“2021년 상반기 수집·탐지된 악성 URL(경유지, 유포지) 5천5건”
2021년 상반기 악성코드 주요 통계 (출처=KISA 보고서)
2021년 상반기 악성코드 주요 통계 (출처=KISA 보고서)

2021년 상반기 악성코드 은닉사이트 탐지시스템에 수집·탐지된 악성 URL(경유지, 유포지)은 5천5건으로 2020년 하반기 3천350건 대비 약 49%가 증가되었다.

한국인터넷진흥원은 23일 ‘2021년 상반기 악성코드 은닉사이트 탐지 동향 보고서’를 공개했다. 보고서는 수집된 악성 URL의 데이터 분석을 통해 주요 이슈 4가지 ▲특정 악성코드 관련 경유지 대량 탐지 ▲IoT 악성코드 관련 유포지 대량 탐지 ▲탐지된 경유지 관련 주요 업종 ▲신규 gTLD 관련 악성 URL 지속탐지를 선정했다. 자세한 내용은 다음과 같다.

◇특정 악성코드(Ramnit) 관련 경유지 대량 탐지

보고서에 따르면, 2021년 1월~2월 특정 웹호스팅사의 1개 IP에 연결된 30개 홈페이지에서 총 2천123개의 램닛(Ramnit) 관련 스크립트가 삽입된 악성 URL이 탐지되었다.

2010년 최초 등장한 램닛은 IE의 VBscript엔진을 악용해 컴퓨터 내 EXE, DLL, HTML 파일을 감염시키는 웜 바이러스로 이후 백도어 설치, 정보유출 등 다양한 악성 기능을 수행하게끔 진화되었다.

현재는 연결되는 C&C가 사라져 HTML에 자신을 복제하는 웜 기능만 존재하며 확산 이외 별도의 피해를 발생시키지는 않고 있다.

◇IoT 악성코드(Mozi), 1,104% 공격 급증

가정용 공유기부터 가전제품 등 모든 물건이 인터넷으로 연결되면서 이를 노리는 사이버 공격도 커지고 있다. IoT 악성코드 중 하나인 모지(Mozi)는 관련된 유포지가 2020년 하반기부터 올 상반기까지 1,104% 공격이 급증하는 등 매우 활발한 공격 활동이 나타났다.

◇제조업 부문 홈페이지의 경유지 악용 비율 크게 증가

전년 하반기 대비 제조업 부문 홈페이지의 경유지 악용 비율이 크게 증가했다. 제조업은 쇼핑 홈페이지 등에 비해 방문자 수 저조로 관리가 부실한 경우가 있는데, 이번에도 특정 제조업 홈페이지에서 대량의 경유지가 탐지된 것을 확인할 수 있었다.

그 외, 이용자가 많은 커뮤니티, 쇼핑 업종과 코로나19 등 사회적 이슈와 연결된 건강/의학, 온라인교육 업종의 홈페이지가 지속적으로 악용된 것으로 나타났다.

이에 관련 업종 홈페이지 운영자는 관리 중인 홈페이지에 대해 주기적으로 보안 점검을 수행하고, 홈페이지 접속자는 출처 불명 URL 접근 자제, 의심 광고 클릭 금지 등 주의가 필요하다고 권고했다.

또 악성코드 은닉사이트 탐지시스템에 수집·탐지된 악성코드는 2020년 하반기 230건 대비 상반기 126건으로 약 45%가 감소되었음을 확인하였으며, 정보 유출형 악성코드가 다수를 차지하고 있었다.

보고서에는 또, 2021년 상반기 수집된 악성코드의 데이터 분석을 통해 주요 이슈 2가지 ▲랜섬웨어 탐지 ▲정보 유출형 악성코드 지속 유포를 선정했다.

◇랜섬웨어(Sodinokibi, Makop) 탐지

2021년 상반기에는 기업과 개인을 대상으로 하는 소디노키비(Sodinokibi), 마콥(Makop) 랜섬웨어 두 종류가 KISA 시스템을 통해 확인되었다.

KISA 시스템에 2019년 5월 최초 탐지된 소디노키비 랜섬웨어가 2021년 2월 정상 프로그램으로 위장한 모습으로 다시 탐지되었다.

소디노키비는 유틸리티 프로그램 등 피싱 다운로드 페이지에서 유포되며, 압축파일 내 스크립트 파일 형태를 띄는 특징을 갖고 있으며, 복구 불가능하도록 볼륨 쉐도우 파일도 삭제한다.

또한, 생성되는 랜섬노트에 해커가 제작한 웹페이지로의 접속을 유도, 일정 금액의 가상자산 모네로를 특정 지갑주소로 전송하게끔 요구한다.

마콥 랜섬웨어는 입사지원서, 저작권 위반 등 메일 내 첨부파일로 위장하여 유포되었다. 파일 확장자를 .makop으로 변경하고, 파일명에 이메일 주소를 추가하는 특징을 갖고 있으며, 생성되는 랜섬노트 내 복호화를 위한 비트코인을 요구하고 연락처(암호화 된 해커 이메일)를 안내한다.

◇정보 유출형 악성코드 지속 탐지

또 전년 하반기에 이어 기기정보와 계정정보를 탈취하는 정보 유출형 악성코드가 가장 많은 비중(73.8%)을 차지하며 가장 활발하게 유포되고 있으며, 뒤이어 디도스(7.1%), 랜섬웨어(5.6%) 순으로 나타났다.

이번 보고서는 KISA 보호나라 홈페이지와 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★