2020-09-30 13:20 (수)
백신이 탐지못하는 악성코드 유형 대거 출현!
상태바
백신이 탐지못하는 악성코드 유형 대거 출현!
  • 길민권
  • 승인 2012.05.16 21:26
이 기사를 공유합니다

기업들 악성코드 유포지 차단 못해…직원PC 감염 시간문제!
대학-커뮤니티-언론사-쇼핑몰 등 악성코드 유포지로 계속 활용
지난주에 비해 국내 악성코드 유포지 수치가 대폭 증가된 형태를 보이고 있다. 공격자들이 활발하게 악성코드 유포를 시도하고 있으며 지난주까지 사용되었던 악성링크도 대거 재활용되고 있는 상황이다. 또 백신이 탐지하지 못하는 신규 악성코드도 증가하고 있어 공공기관과 기업들은 각별한 주의가 필요하다.
 
한국의 악성코드 유포 현황에 가장 정확하게 분석하고 있는 빛스캔(대표 문일준)은 이번주 주간 동향 보고서에서 “지난주까지 확연하게 증가추세를 보였던 Java Applet 취약성(CVE 2012-0507, 2011-3544)은 계속 진행 되고 있으며 금주의 공격 부분에는 Flash 취약성(CVE-2012-0754) 공격코드들도 증가를 하고 있다”고 설명했다.  
 
또 “현재의 상태로 보면 운영체제에 대한 직접적인 취약성 공격은 빈도가 약해지고 있으며 상대적으로 보안대응이 늦을 수 밖에 없는 Third party application에 대한 공격비율이 매우 높은 것을 볼 수 있다”며 “운영체제의 경우 자동업데이트 등을 이용해 보안성을 일정수준 이상 유지 할 수 있으나 현재까지는 Third party 제품군에 대한 자동업데이트는 그리 활발하지 않은 상황이라 공격 비율이 높다”고 덧붙였다.
 
전상훈 빛스캔 이사는 “사내 및 관련부서에 Adobe Flash 및 Oracle Java 관련된 취약성의 업데이트를 강력하게 권고해야 하고 향후에도 계속적인 관리 포인트를 둬야 한다”며 “어도비 플래시 최신 버전의 경우에는 자동업데이트 지원이 되고 있으므로 적용을 권고하고 패치가 매우 늦은 오라클의 경우는 즉시적인 권고를 통해 바로잡아야 한다”고 조언했다.  
 
더불어 “모든 내부사용자가 인터넷을 이용하지 않는다면 문제가 되지 않겠지만 현재의 상황은 불가능한 상황이므로 인터넷 상에서 노출되는 위험으로부터 보호 할 수 있는 방안을 자체적으로 강구해야만 하는 상황”이라며 “상대적으로 보안수준이 높은 사이트의 경우에도 배너 및 태그 광고 등을 통해 악성코드들이 지속적으로 유입되고 있다. 짧게 노출시키는 것을 계속 반복하는 상황이며 광고의 특성상 수십여 개 이상의 사이트에서 동시에 악성코드 유포 효과를 볼 수 있는 형태여서 강도 높은 주의가 필요하다”고 강조했다.
 
빛스캔과 KAIST CSRC가 공동으로 분석해서 매주·매월 발간하고 있는 보안동향 보고서에서는 이번주 공격의 특징을 다음과 같이 리포트하고 있다.
 
-백신 미탐지 악성코드 유형 대거 출현 (국내외 막론)
-CVE 2012-0507, CVE 2011-3544 (Java Applet 신규 취약성) 공격 지속 및 CVE 2012-0754 (Flash 취약성) 공격 증가
-해외 호스팅 영역을 통한 IP 변경된 공격 지속 및 대학 서비스 중계지 활용 계속
-APT 유형의 드라이버 루트킷 재출현 (감염이후 192.168. 대역에 대한 스캔 및 확인 기능), 국내외 유명게임들의 다수 계정 탈취
-이전 출현했던 악성링크의 재활용 계속 증가 (심각한 상황)
-배너, 태그 광고 링크에 대한 공격 지속 (태그 광고 1곳, 배너광고 2곳 이상)
-Mass SQL Injection 최초 유형 발견 2곳 시작됨(5.8일-skdjui.com/r.php , 5.13일-koklik.com/r.php)
 
Mass SQL Injection 공격 관련 정보는 www.symantec.com/connect/blogs 이곳을 참고 하면 된다.
 
빛스캔 측은 “국내에도 빠르게 확산 되고 있으며 CVE 2012-0507 유형이 같이 사용 되고 있으므로 사내의 임직원들에게 강력한 보안 패치 정책을 권고 해야 한다”고 강조했다.
 
또한 4월 3주차 보고서에서도 웹을 통한 루트킷(APT 유형) 유형의 유포에 대해 경고한 바 있다.하지만 이번주는 보다 강화된 형태로 재출현했다. 시스템상의 드라이버를 교체하는 형태로 루트킷이 설치되고 있어서 사후 대응 및 처리에도 상당한 어려움이 있을 것으로 보인다.
 
더불어 내부 사설망을 스캔하는 형태가 발견되어 의도가 매우 의심스러운 유형이 유포가 되고 있다고 한다. 키로깅 이외에 화면 캡쳐 및 녹음기능을 포함한 악성코드 유형도 발견 되었어 강도높은 주의가 필요한 상황이다.
 
한편 보고서에 따르면, APT 유형의 악성코드 이외에 게임계정을 노리는 악성코드들이 다수 발견이 되었으며 해당 악성코드들은 윈도 시스템의 시스템 DLL 파일을 변조해 패킷 전송 시점에 정보를 가로채는 형태로 되어 있다. 현재 변조되는 dll은 windows socket 관련된 DLL인 ws2help.dll과 safemon.dll을 대상으로 악성기능을 하도록 변조하고 있으며 대상이 되는 게임들은 국내외 유명게임을 모두 망라하고 있으며 백신 프로세스에 대한 종료코드들도 같이 동작되고 있는 상태라고 한다.
 
게임계정을 노리는 악성코드의 대상게임은 엔씨소프트 리니지, 한게임 테라, 넥슨 메이플스토리,엘소드, 블리자드 와우, CJ인터넷 피파온라인, 네오플 던파 등이다.
 
보고서가 권고하는 대응방안은 Java 및 Flash 취약성 공격 코드 증가에 따라 Adobe Update 및 Oracle Java 업데이트를 강력 권장하는 것이다.
 
또 4월 3주, 4주, 5주차 그리고 5월 1주차 차단 권고 영역을 유지해야 한다. 이유는 이전 활용된 악성링크들이 계속 재활용 되고 있기 때문이다.
 
더욱이 보고서에는 추가 차단 해외 호스팅 영역 클래스도 밝히고 있다. 하지만 기사에서는 공개하지 않겠다. 해당 클래스들은 공격자가 전체 제어권을 가지고 있어서 지속적으로 공격에 활용할 곳으로 예정 되고 있다. 차단이 필요한 상황이다. 주중에도 상시적으로 이용이 되고 있으므로 차단은 강력하게 필요하다고 강조하고 있다.
 
이번주 유포지나 악성링크로 활용된 곳들은 근본적인 문제 해결을 해야 한다. 다음과 같은 곳들이다.      
 
대학 서비스 중에서는 XXX, XXX 서비스들이 악성코드 중계에 계속 활용 되었고 팬클럽, 커뮤니티, 언론사, 쇼핑몰 등이 악성코드 유포에 활용되었다. 언론사 및 대형 쇼핑몰 등은 배너 및 태그 광고 서버를 공격하는 형태로 공격이 계속 반복적으로 발생되고 있으며 피해도도 높을 것으로 빛스캔 보고서는 밝히고 있다.  
 
전상훈 이사는 “내부망의 사용자 PC가 한대라도 권한 획득을 당했을 경우 그 위험성은 충분히 인지하고 있을 것으로 안다. 다양한 대책을 통해 위험을 계속 줄여 나가는 것이 현재 할 수 있는 가장 중요한 일이 될 것”이라며 “세부 보안동향 기술보고서에는 외부 연결 시도를 할 경우 해당 도메인이나 IP가 각각 기술이 되어 있다. 공공이나 기업들은 해당 정보를 참고해 추적 및 대응에 참고할 수 있다”고 설명했다.
 
보고서 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr이며 기관명/ 담당자/ 연락처를 기재해 보내면 시범서비스로 기관/기업별 1회에 한정해 받아 볼 수 있다.
[데일리시큐=길민권 기자]