2024-03-29 16:50 (금)
주말마다 악성코드 소굴...PC 감염 심각한 수준!
상태바
주말마다 악성코드 소굴...PC 감염 심각한 수준!
  • 길민권
  • 승인 2012.03.07 16:54
이 기사를 공유합니다

주말 새벽, 중소사이트 2곳에서만 3만4천대 이상 PC 좀비화
빛스캔-KAIST, 2월 11일 악성코드 감염사례 조사 보고서 발표

2012년 1월부터 빛스캔(bitscan.co.kr 대표 문일준)에서는 KAIST 사이버보안연구센터와 공동으로 웹 서비스상에서의 악성링크 판별과 사용자 PC에 설치되는 최종 악성코드에 대해서 분석을 진행해 오고 있다.
 
공동 분석을 진행 중 2012년 들어 악성코드 유포 행위가 가장 극심했던 2월 11일 새벽에 공격자가 생성한 흔적(로그)을 발견하게 되었고, 이 로그에는 유포 시간대에 접속한 모든 사용자에 대한 기록들이 저장이 되어 있었다.
 
로그를 분석한 결과 국내에서 몇 년 전부터 꾸준하게 발생되어 오고 있는 웹서비스를 통한 악성코드 유포가 얼마나 많은 효과를 거두고 있으며 왜 지금도 멈추지 않고 계속 되고 있는지를 확인 할 수 있었다. 2월 11일 새벽 3시간 동안 발생된 기록의 단면을 통해 국내의 악성코드 유포에 대한 피해여파와 대책의 효율성에 대해 고려해야 할 시점이다.
 
일반적으로 공격자들은 공격의 효과와 유효성 검증을 위해 접속자에 대한 로그를 항상 유료화된 통계 사이트로 전달해 오고 있어서 공격의 효과를 대응 측면에서 판단하는 것이 매우 어렵고 공격의 전체적인 규모를 파악하는 것이 불가능했다. 이번 빛스캔 분석 결과는 국내에서 일상적으로 발생하고 있는 웹 서비스를 통한 악성코드 유포 실상이 얼마나 심각한지에 대해 잘 보여주고 있다.
 
2월 10일부터 12일까지(3일) 최근 몇 년 이내에 가장 큰 규모로 다양한 악성코드를 유포한 주말기간이었다. 이 당시에 발견된 악성 링크들만 30여 종 이상이고 특히 하나의 악성링크가 50여 곳 이상의 웹서비스들에서 중계되는 사례도 발견된 시기이다. 이번에 발견된 공격흔적은 이 중에서도 소규모에 해당하는 서비스들을 공격하여 감염을 시킨 흔적들이며 중소 언론사 한곳과 게임 커뮤니티 사이트 두 곳의 방문자들에게만 감염이 되도록 되어 있었다.
 
다른 큰 규모의 공격들에 대해서도 분석이 된다면 국내의 실질적인 현실에 대해서 보다 더 정확하게 인지 할 수 있겠으나 공격자의 실수가 없다면 파악을 한다는 것은 절대적으로 불가능한 사안이다. 이번에 공개된 작은 사례를 통해서 국내 IT환경에 대한 직접적인 위험을 인지해야 하며 적극적인 대책을 적용 해야만 할 시기에 직면했음을 알 수 있다. 전체의 피해 사례는 더 크고 대규모라는 사실을 알아야 한다.  
 
그럼 지난 2월 11일 일요일 새벽 3시간 동안 무슨 일이 벌어졌는지 좀더 자세히 살펴보도록 하자. 로그파일의 사이즈는 55M, 활성화된 시간은 2012년 2월 11일 00:23:46~03:24:30이며 총 3시간에 걸친 기록이다. 총 로그의 카운트는 270,384회이다.
 
중복된 방문자를 제외한 Unique IP의 수치 통계는 다음과 같다. ( AWSTAT 활용한 통계)

 
웹로그 27만여 개 중에서 고유 방문자는 5만6,995명이며 해당 방문자들은 평균 2회 가량의 페이지를 자동으로 방문한 것으로 나오고 있다. 고유 방문자가 실제 감염 대상으로 볼 수 있으며 해당 악성링크 사이트에 존재하는 exe 파일을 제한 없이 사용자 PC에 설치된 횟수가 악성코드 감염 PC개수로 판단할 수 있다.

 
전상훈 빛스캔 기술이사는 “최종 고유 방문자 대비 성공 비율은 60%선을 보이고 있다. 결론적으로 소규모 사이트 두 곳 만을 이용한 공격이며 더구나 새벽시간대의 3시간 가량의 악성링크 노출만으로도 공격 성공률 60%와 3만 4천대 이상의 좀비PC를 확보 하고 있음을 알 수 있다”며 “방문자가 더 많은 대규모 사이트들에 대한 공격도 이 시기에 동시적으로 발생했기 때문에 감염 수치는 추산하기 어려울 정도이며 놀랄 만큼 많은 대규모 좀비PC를 확보 하고 있을 것으로 추정이 가능하다”고 밝혔다.
 
유포된 악성파일 자체는 게임계정 탈취와 키로깅을 주목적으로 하고 있으며 국내 주요 백신에서는 탐지가 되지 않음을 빛스캔 측은 확인했다. 공격 코드는 IE 버전별 Flash 취약성, IE 자체의 취약성, Windows Media Player 취약성, Oracle Java 관련 취약성이 활용 되었으며 이 로그 상에서는 Oracle Java 관련 취약성 공격 성공률은 1,385회 정도를 보이고 있다. 그 외의 IE, Flash 취약성과 Windows Media Player관련 취약성 공격이 공격 성공의 대부분을 차지하고 있음을 알 수 있다.

 
사용자의 Flash 버전 및 IE의 버전, java, Windows Media player에 대한 공격코드가 각각 방문자의 PC환경에 맞추어서 공격이 발생하도록 되어 있고 최종적으로는 악성파일을 방문자 PC에 설치하여 좀비PC로 만드는 것을 목적으로 하고 있다. 공격된 취약성의 종류는 다음과 같다.

 
좀비 PC를 만들기 위해 공격자들은 환경에 맞는 공격코드들을 세트 형식으로 운용을 하고 있으며 방문자의 다양한 PC 환경에 맞추어 여러 취약성들을 나누어서 공격하도록 하고 있으며 최종적으로는 악성코드의 설치에 취약성을 직접 운용을 하고 있다.
 
더구나 이 모든 악성코드들은 국내의 사용 비율이 높은 백신들에 대해서는 이미 우회 테스트를 한 상태에서 내려와서 실시간 대응은 매우 어려운 환경이며 악성코드 파일 자체가 다운로드 된 것은 제한 없이 방문자 PC를 좀비PC화 했다는 것을 의미한다.
 
각 취약성에 대한 보안업데이트들은 충분히 나와 있으나 현재 상태에서도 국내의 일반적인 PC 환경은 업데이트 미비로 인한 피해도가 매우 높음을 알 수 있다. 만약 업데이트도 나오지 않은 제로데이 공격이 출현한다면 성공률은 90% 이상으로 높아질 것이나 현재 상태에서도 충분히 공격자는 소기의 목적을 달성하고 있다고 볼 수 있다.
 
◇분석 데이터

 

 
접속횟수의 기준은 레퍼러(Referer)를 기준으로 한 수치이며 중소 IT 전문 언론사를 통한 새벽 시간대의 유입도 상당히 높은 수준임을 볼 수 있다. 더불어 게임 커뮤니티의 접속은 공격 시작 시간이 새벽임에도 불구하고 접속률은 매우 높은 통계를 보이고 있다.

 
동 시간대의 접속 국가별 통계는 다음과 같다.


<접속 IP 통계 >
국내 IT관련 언론사 한 곳과 국내의 게임 커뮤니티 사이트에 대한 공격이라 92% 이상의 접근 IP가 국내의 IP임을 확인 할 수 있다. 방문자들의 운영체제 비율은 95.2% 가량이 Windows 운영체제임을 보이고 있다.

 
악성링크에 연결된 브라우저별 접근 정보는 다음과 같다.

 
전상훈 빛스캔 기술이사는 “여전히 국내에서는 Windows 플랫폼과 Internet Explorer의 사용비율이 높다. 그리고 본 통계치는 공격자에 의해 수집된 로그를 기반으로 했고 특정 커뮤니티와 제한된 시간이라는 제약이 있어서 전체적인 평균을 대변하기는 어려움이 있는 자료”라며 “최근 공격 동향으로는 Flash에 대한 공격이 매우 자주 발생 되고 있고 계속 변화되고 있어서 비단 IE와 Windows의 사용비율이 높다고 하여 감염이 높은 것으로 보기에도 어려움이 있다”고 설명했다.
 
또 그는 “긴급하게 국내의 PC 환경에서 필요한 부분들은 각 어플리케이션에 대한 업데이트가 필요하며, 업데이트 출현 이전이라도 (Flash와 Java의 경우) 공격이 발생 되었을 경우 차단 할 수 있는 방안들에 대한 진지한 모색이 필요하다”며 “사후 대응으로는 현재의 심각한 상황을 넘기기엔 힘겨워 보인다”고 밝혔다.  
 
결론적으로 악성코드 감염 비율로 살펴 보았을 때 Flash, IE, Java, Windows Media에 대한 복합화된 공격의 성공률은 현재 60% 수준으로 볼 수 있다. 문제 원인으로는 여전히 각 취약성별 업데이트가 제대로 이루어지지 않고 있다는 것과 국내에서 주로 사용 되고 있는 백신 제품들에 의한 차단 효과가 그리 높지 않음을 의미 한다. 또한 Java와 Flash 같은 개별 업데이트에 의존하는 어플리케이션들도 지금과 같은 수동적인 업데이트 방식과 늦은 대응으로는 한계가 있을 수 밖에 없다는 것이다.
 
악성코드 및 악성링크에 대한 공동 분석을 주도 했던 전상훈 빛스캔 기술이사는 “그 동안 알려지지 않았던 웹을 통한 악성코드 유포의 결과와 위험성에 대한 실제적인 데이터가 발견 되어 국내의 상황이 생각보다 심각함을 확인 할 수 있었고, 현재의 대응 수준보다 더 선제적이고 빠른 대응이 시급하게 요구 되는 상황이다”라고 분석 결과와 의미를 정리했다.
 
한편 국내 환경에서 발생되는 실질적인 공격과 위험성에 대한 조사와 대응을 위해 빛스캔와 카이스트 사이버보안연구센터에서는 공동으로 위협정보 제공 서비스를 3월부터 운영을 할 예정이다. 제한된 고객사에 한해 유상으로 서비스를 시작 할 예정이므로 샘플 보고서와 서비스에 대한 안내가 필요한 기업은 info@bitscan.co.kr 메일로 문의하면 된다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★