악성코드 유포지 수가 이번 주에 20% 정도 감소했지만 신규 악성코드는 지난주에 비해 대폭 증가한 것으로 나타났다. 또 국내 149개 이상의 홈페이지에서 악성코드를 유포한 것으로 확인됐으며 5지 유형의 신규 악성코드 45건이 탐지됐다.    
 
이번주 악성코드 공격의 특징으로는 공격에 이용되는 취약성 종류의 변화에 따라 공격 기법들도 변화가 되고 있음을 알 수 있다. 가장 큰 특징은 신규 악성링크는 줄어들었지만 악성링크로부터 감염되는 악성코드들은 지난주에 비해 대폭 증가한 것으로 나타났다.   
 
빛스캔과 KAIST CSRC에서 매주 발간하는 보안동향 보고서에서 “5월 3주차에는 지금까지 사용되어진 악성링크들을 반복해서 재활용을 하고 있으며 최종 설치되는 악성코드들만 변경하는 형태를 보이고 있다”고 밝히고 “대응이 되지 않고 있어서 계속 악성링크를 재활용 하고 있다는 점이 가장 큰 원인”이라고 강조했다.
 
보고서는 이번주 악성코드 유포 특징에 대해 다음과 같이 정의하고 있다.
 
-악성코드 유포자들의 전략적 행위 증가 및 범위 확대
-악성코드 분석 자체를 방해하기 위한 가상머신 우회기술 적용
-4월부터 사용되었던 주요 악성링크의 대규모 재활용 계속
-주말에 집중된 공격에서 벗어나 주중에도 일상적인 악성코드 유포 시도들이 계속 이어짐
-악성링크 탐지 혼선을 위한 백신과 유사한 도메인 활용 및 배너
-APT 유형(악성 코드 감염 이후 내부망 스캔 및 활동) 꾸준히 유포
-Mass SQL 유형 국내 유입 시작 / social-stats.info/ur.php 5.19일 (해외에는 있었으나 국내로 최초 유입이 감지됨)
 
5월 3주차의 공격에 이용된 각 취약성들을 전주와 비교해 보면 공격자들의 전략과 악성코드 전파 기법의 변화에 대해서 확인이 가능하다.
 
이번주 주된 공격 취약성은 주요 취약성 6개 가량에 집중이 되어 있으며 이중 여전히 패치가 더딘 것으로 보이는 Oracle의 Java 취약성에 대한 공격 비율이 높아지고 있다.
 
전상훈 빛스캔 이사는 “사내 및 해당 기관이나 기업에 강력한 보안패치 권고를 해야만 하는 이유이다. MS의 패치뿐 아니라 java와 Flash에 대한 기본 패치 정보를 제공하고 타이트하게 관리 해야 위험을 줄일 수 있을 것”이라고 강조했다.
 
각 특징들을 하나씩 짚어 보면 가장 큰 특징은 전략적 움직임을 공격그룹이 보이고 있다는 부분이다.
 
◇전략적으로 변화하는 공격자들
악성링크의 수치는 줄었지만 기존에 정상적인 웹서비스들에 추가해둔 악성링크(악성코드는 내려 오지 않는 비정상 링크)를 대규모로 활용했고 그 중 한 곳의 경우에는 분석보고서에는 정황이 기술되어 있지만 빛스캔에서 관찰되는 변화를 보면 대규모 움직임을 보이고 있다. 단 하나의 악성링크를 이용해 대규모로 악성코드 유포에 활용하고 있으며 이전 사용 되었던 링크들의 재사용 비율이 대폭 증가하고 있다. 대응이 시급한 상황이다.
 
좀더 자세히 설명하면 아래와 같다.

 
1. 공격자는 사전에 악성링크 A와 B, C를 여러 웹 서비스들에 넣어둔다. 이때에는 악성코드 유포는 발생하지 않는다. 빛스캔 관측결과 최소 4개 이상의 사전에 심어진 악성링크 활동이 감지 되었으며 해당 링크의 내용은 공격 시작과 동시에 동일한 악성코드 호스팅 주소로 변경되었다. 최소 연결된 공격네트워크만 40여 곳 이상이 해당 되는 것으로 감지되었다.
 
2. 공격 시점에 도달해 공격자는 악성링크 A와 B, C의 내용을 악성링크로 변경한다.
 
3. 이미 공격자가 확보해서 가지고 있는 악성코드 유포 네트워크(최소 수십여 개 이상)는 하나의 악성링크를 방문자들에게 중계하게 된다.
 
◇백신 도메인으로 가장한 형태의 악성링크(ky.alyacc.com)가 발견됐다. 이번주 악성코드 유포도메인을 국내 백신프로그램 URL과 유사하게 사용해 인터넷 사용자에게 착각을 유도하는 악성코드가 발견됐다. 향후 이와 같이 신뢰도가 높은 사이트와 유사한 URL를 이용한 악성코드 유포가 증가할 것으로 예상된다. 주의해야 한다.
 
◇시스템 드라이버를 대체하는 형태의 루트킷은 APT 형태이며 감염 이후 내부망을 스캔하고 정보를 수집하는 형태를 보이고 있다. 해당 형태는 몇주간 계속해서 나타나고 있어서 강도 높은 주의가 필요하다.
 
◇악성코드 분석시에는 항상 가상머신을 이용해 분석을 진행하고 있지만 이번주에 발견된 악성코드 중에는 가상머신 실행을 감지하고 종료하거나 분석을 회피하도록 설계된 악성코드가 대량 유포 되었다. 빛스캔 측은 이 내용은 향후 전문분석을 통해 상세하게 전달이 될 것이라고 밝혔다.
 
◇게임 계정을 해킹하는 코드들이 대량으로 유포되고 있으며 대상 게임은 엔씨소프트의 리니지, 한게임의 테라, 넥슨의 메이플스토리, 엘소드, 블리자드의 와우, CJ인터넷의 피파온라인, 네오플의 던파 등이며 곧 디아블로에 대한 계정 탈취 유형도 발견 될 것으로 보인다.
 
◇루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발 할 수 있기 때문에 심각한 주의가 필요하다. 더욱이 빛스캔 보고서에 기술되는 내용들은 이메일 등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염이다. APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중되고 있다.
 
악성코드 유포에 사용된 주요 취약성은 다음과 같다.
-CVE 2011-3544(26.4%) Java Applet 취약성
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544
- CVE 2012-0507(24.5%) Java Applet 취약성 - Java Web start 취약성
-CVE 2012-0003(20.7%) Windows Midi 취약성
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고
-CVE 2012-0754(16.9%) Flash 취약성
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754
-CVE 2010-0806(10.3%) IE 취약성(IE 6,7 대상)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806
-CVE 2011-2140(0.9%) Flash 취약성 
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140
 
지난주에 비해 특이 사항으로는 Java applet 취약성을 노린 공격이 대폭 증가한 것이고 한동안 소강 상태를 보였던 Windows Midi 관련된 공격이 급증세를 보이고 있는 것이다. 또한 오래된 취약성으로 분류되고 있는 IE 취약성 CVE-2010-0806 공격이 드물게 활성화되어 이용이 되고 있다.
 
전 이사는 “MS 관련 보안패치 및 Oracle, Flash의 업데이트를 시급하게 보완해야 될 부분이며 불가피한 경우 현재 공격에 주로 이용 되고 있는 취약성들에 대해서만이라도 패치를 별도 설치 하도록 유도해야 위험을 줄일 수 있다”며 “지난주에 비해 달라진 취약성 비율과 공격의 자세한 변화들에 대해서는 5월 3주차 동향분석 보고서를 참고하면 된다”고 밝혔다. 
 
또 그는 “현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공할 예정이며 기본 동향에 대해서만 공개하고 있다”며 “시설 확장을 통해 그 동안 국내 도메인 중 추가 확보된 도메인과 해외 도메인을 더 추가해 악성링크의 움직임에 대해 폭넓은 관찰을 예정하고 있다. 보다 더 정확성 있고 현실적인 위협정보들을 제공 할 수 있도록 하겠다”고 덧붙였다.
 
현재 악성링크 자체의 수집은 빛스캔에서 수행하고 있으며 악성링크에 대한 분석은 KAIST 사이버보안센터, KAIST 정보보호대학원과 공동협력으로 운영 되고 있다.
 
국내 인터넷 위협동향 보고서의 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한해 한달 간 제공되고 있다.
[데일리시큐=길민권 기자]