성탄절 연휴 동안 악성코드 유포자들은 바쁜 이틀을 보냈다. 국내 주요 사이트 150여 곳 이상을 대상으로 신규 및 변종 악성코드를 유포하는 링크를 걸어놓고 사이트 방문시 마다 자동으로 감염 되도록 하여 대규모 악성코드 살포가 시도했다. 150여 곳은 누적된 결과가 아니라 24일~25일 단 이틀간 한국에서 발견된 유포사이트를 악성코드 경로별로 개별 집계한 일부 수치란 점에서 충격이다. 
 
더 충격적인 것은 악성코드 유포지 중 이용자가 많은 사이트를 대상으로 이들은 평균 3~4시간 간격으로 악성코드 유포 링크를 변경시키며 국내 사이트를 자유자재로 유린한 것으로 밝혀졌다.  다시 말해 해당 서비스를 운영하는 기업은 물론 국내 백신이나 기관에서 전혀 대응을 하지 못하고 있다는 것을 보여주는 결과다.  
 
이번 조사 내용을 발표한 전상훈 빛스캔(www.bitscan.co.kr) 이사는 “이들이 유포하고 있는 악성코드들은 국내 백신은 물론 대표적인 글로벌 백신으로도 대부분 탐지 및 차단이 불가능한 것들로 밝혀졌다. 특히 랭키닷컴 기준 상위 사이트들을 대상으로 조사한 것이고 이 사이트들은 일 평균 방문자 10만명이 넘는 사이트들”이라며 “국내 이용자들 대부분 국내 백신 혹은 대표적 글로벌 백신을 사용하고 있다는 가정하에 150개 사이트에서 하루 동안 감염될 수 있는 건수를 추정해보면 1,500만건(150Χ10만)에 달하는 엄청난 수치”라고 밝혔다.
 
또 그는 “중복감염을 제외하더라도 상당히 높은 수치의 감염이 이루어 졌을 것”이라며 “또한 이 현상은 현재 한국에만 국한되어 집중적으로 발생이 되고 있으나 향후 전 세계적으로도 동일한 위협에 지금 당장이라도 노출 될 수 있을 것”이라고 경고했다.

 
한편 지난 12월 24일 오후 4시 경을 기준으로 새롭게 유포되기 시작한 악성코드의 익스플로잇(banner.swf)의 바이러스토탈(www.virustotal.com) 진단 결과를 살펴보면 국내 주요 백신들은 전혀 진단을 하지 못하고 있을 뿐만 아니라 글로벌 백신들도 다수 진단을 하지 못하고 있다는 것을 확인할 수 있다. 다시 말해 성탄연휴 이틀간 악성코드 유포사이트인 국내 150여 곳에 접속한 1,500만 건의 접속 PC는 대부분 악성코드에 감염됐다고 봐야 하는 상황이다.
 
전상훈 이사는 “위 이미지에 나오는 수치는 모두 웹서비스의 소스가 변경 되어 방문자들에게 악성코드를 직접 뿌리는 사이트들의 수치”라며 “일평균 방문자가 최소 1만명인 사이트 20여 곳에서 동시에 악성코드가 뿌려진다면 감염자는 최소 20만 명의 범주에서 찾아야 될 것이다. 단 하루 만에 말이다. 현재 상태로 감염율은 최소 60~80% 이상이라고 봐야 한다”고 설명했다.  
 
그는 또 “이 또한 대략 추산에 불과하다. 다들 변종들이라서 각각 별개로 대응을 해야 하는 상황”이라며 “악성코드 유포지 점검과 차단에 대한 종합대책이 마련돼야 한다”고 강조했다.
 
성탄연휴 악성코드 유포지로 사용된 사이트는 국내 대부분의 커뮤니티, 거대 언론사, 중소 언론사, 일반기업 등이 대거 포함돼 있다.
 
이에 빛스캔 측은 “경유지라는 것은 이런 유포에 사용 되는 서비스들에 들어가 있는 주소이다. 위의 이미지에 나온 주소들이 그 경유지가 된다”며 “이 경우 오픈을 한다 해도 변화가 너무 빨라서 실제 현업 담당자들은 대응이 어려울 것으로 보인다. 그러나 Mass sqli와 같은 공격은 오래 지속 되기 때문에 나오는 즉시 컬럼 등을 통해서 공개 하고 있다”고 밝혔다.  
 
또 “아마도 경유지에 대한 차단과 대응은 공개만으로는 대응이 불가능한 것이 현실이다. 그래서 오랜 고민 끝에 장비개발사와 협력을 통해 차단을 하기로 했고 이미 최종 테스트 단계”라며 “성능과 차단도 충분히 만족할 만한 수치가 나오고 있어서 아마 1/4분기 이내에 시장에 출시될 것”이라고 설명했다.
 
한편 빛스캔 측은 “그 동안 기관들에게 여러 차례 관련 내용을 통보해주었지만 단편적인 조치에 그친 적이 대부분이라 현재의 심각한 상황을 해결하기는 어렵다는 결론을 내렸고 직접해결에 나서기로 했다”며 안타까워했다.
 
또한 “1년 이상의 정보 수집과 비교결과에 따르면 구글 크롬과 파이어폭스(FireFox)에서 이용하는 Stopbadware의 악성코드 유포지 차단기능은 공격자들의 전략에 무기력하며 실제적인 차단 효과가 높지 않다는 것을 알 수 있었다”며 “앞으로 구글 크롬과 파이어폭스의 악성코드 위험 사이트 차단 서비스가 얼마나 허점이 많은지 데이터로 증명하고 그 대안을 제시할 것”이라고 강조했다.  
[데일리시큐=길민권 기자]