빛스캔(대표 문일준)과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 주간 보안위협보고서에 따르면 “2주전부터 언급했던 공격자들의 전략적인 공격이 대폭 확대 되는 특징을 보이고 있다. 신규 악성링크 및 악성코드들은 지난주와 대동소이한 양상을 보이고 있으나, 실제 악성링크 하나가 최소 10개~최대 100개 이상의 웹서비스에서 동시에 중계된 사례가 발생 했다. 즉 중간 경로를 이용한 효율적 공격들이 대거 관찰 되고 있어 지난주 대비 영향력 면에서는 비교하기가 어려울 정도로 위험성이 높은 상태”라고 주의를 당부했다. 
 
자료에 따르면, 이번주 악성코드 유포지로 이용된 웹서비스들은 412곳 이상이며 지난주 대비 대폭 증가했으며 현재도 매우 활발하게 범위를 확산 시키고 있고 단 이틀 만에 100여 개 이상의 취약한 웹서비스들에 악성링크를 추가하는 적극적인 공격이 계속 되고 있는 것으로 분석됐다.

 
◇거대 악성코드 전파용 네트워크 Malware net=전상훈 빛스캔 기술이사는 “악성링크가 삽입된 웹서비스들의 대응이 많이 부족한 상태라 계속 재발되고 있다”며 “대규모 감염을 시키기 위해 사용자가 방문 시 감염 될 수 있는 사이트들을 대규모로 확장해 거대 네트워크를 운영 중이다. 특히 기존의 봇넷과는 다른 형태의 악성코드 전파용 네트워크라 할 수 있다. ‘Malware net’이라 불러야 할 정도”라고 설명했다.
 
대표적으로 대규모 확산된 악성링크는 www.xxxxxxx.com/script/js/script.js이며 국내 주요 웹서비스 100여 곳 이상의 웹서비스 코드에 해당 링크가 추가되어 방문시 마다 자동 실행을 통해 좀비 PC 감염을 확대 하고 있다. 해당 보고서를 작성하는 6월 6일 오후 3시에도 운영이 되고 있다고 전했다.
 
빛스캔 측은 “위 링크에 대한 공개는 대규모 피해 방지를 위한 것이다. 또한 악성링크의 내용은 수시로 변경이 되고 있으며, 1회 변경시 마다 100여 개 이상의 웹사이트에서 동시에 방문자 감염이 이루어 지게 되어 있다. 공격자로서는 매우 효율적인 방식이며 차단 및 대응을 하는 측에서는 곤혹스러운 상태라 할 수 있다”고 말했다.
 
결론적으로 지금까지 사용된 악성링크들을 반복해서 재활용하는 형태는 여전하며 최종 설치되는 악성코드들도 동일한 유형을 계속 활용하고 있다. 또한 행위 분석 방해를 위한 가상머신(Virtual Machine) 분석 회피 방안도 지속적으로 출현 중이나 현재 분석 및 대응이 완료된 상태로 분석에는 문제가 없는 상태를 유지하고 있다고 한다.
 
전상훈 이사는 “악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어지지 않고 악성코드 유포 인지도 못하는 상태여서 대응이 되지 않는 악순환이 계속 되고 있다”며 “이제 공격자들은 자유로운 재활용을 넘어 악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계로 전환하고 있다”고 강조했다.
 
또 “전체적으로 이번주 국내 인터넷 서비스를 통한 악성코드 감염 및 좀비 PC 감염 비율은 상당히 높은 상태를 유지한 것으로 판단되며 주의 단계를 넘어선 위험한 상황”이라고 설명했다.
 
유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있다. 빛스캔은 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘악성코드 유포지’, 악성코드를 받아 오게 하는 임의의 주소를 ‘악성링크’, 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’로 정의하고 있다.
 
사용자 PC에 대한 직접적인 공격을 일으키는 취약성은 주요 취약성 5개 가량에 집중이 되어 있으며 지난주와 동일하게 오라클(Oracle)의 자바(Java) 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있다. 또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구되고 있다.
 
패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고, 발생 가능한 위험을 제거 했느냐가 핵심이 되어야 한다. 감염 이후에 대응은 휠씬 더 큰 피해를 입은 이후에 많은 비용과 자원 투입이 되어야 복구가 된다는 점을 잊지 말아야 한다.
 
Oracle Java 취약성, Adobe Flash 취약성, MS의 Medi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있다.  
 
또 지난 빛스캔 기술보고서에 언급된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도 서비스 등록 등을 실행하고 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 매우 높은 상황이다.
 
◇국내 대부분 백신과 게임, 백도어로 모니터링 중=한편 전 이사는 “4번 기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어 현재 공격자들이 주력하는 부분으로 판단된다”며 “모두 시스템에서의 백신 프로세스를 중지시키고 국내외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있다”고 경고했다.

 
또한 “모니터링하는 프로세스의 종류는 국내 대부분 백신 이외에도 넥슨의 OTP까지 모니터링을 하고 있다. 게임종류는 국내외 게임사들의 주력 게임들이 모두 해당 되고 있다”며 “OTP 관련 프로세스에 대한 후킹이나 모니터링이 된다는 것은 계정 도용 및 탈취를 막기 위한 보호대책을 추가적으로 모색해야 하는 상황으로 보여진다. 금융권도 다르지 않을 것”이라고 덧붙였다.
 
루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발 할 수 있으므로 심각한 주의가 필요하다. 더군다나 이번 보고서에 기술된 내용들은 이메일 등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염이란 점이 더욱 우려되는 부분이다.  
 
APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있다. 사용된 취약성 비율은 아래와 같다.
 
-CVE 2011-3544 (24.2%) Java Applet 취약성
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544
 
-CVE 2012-0507 (28.3%) Java Applet 취약성 - Java Web start 취약성

-CVE 2012-0003 (20.2%) Windows Midi 취약성 
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고
 
-CVE 2012-0754 (26.3%) Flash 취약성
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754
 
-CVE 2010-0806 (1.0%) IE 취약성 (IE 6,7 대상)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806
 
빛스캔 측은 “현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정해서 제공될 예정”이라고 전했다.
 
KAIST CSRC 주간보안동향 보고서는 1P 짜리 요약형태로 작성이 되며 무료 배포가 가능하다. 해당 서비스의 신청은csyong95@kaist.ac.kr로 신청하면 된다. 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr이며 기관명/ 담당자/ 연락처 기재가 필요하다. 시범서비스는 기관/기업별 1회에 한정된다.  
 
보고서 작성을 위한 악성링크 자체 수집은 빛스캔에서 수행하며 악성링크 및 악성코드 분석은 KAIST 사이버보안센터와 정보보호대학원이 공동으로 진행하고 있다.
[데일리시큐=길민권 기자]