2020-02-18 16:45 (화)
기업들, 악성코드 차단…사후대응만으론 한계!
상태바
기업들, 악성코드 차단…사후대응만으론 한계!
  • 길민권
  • 승인 2012.06.23 05:17
이 기사를 공유합니다

디아블로 3 계정 탈취용 악성코드 대량 유포!
Malware net 범위, 계속 확장 되고 빠른 변화 보여...
최대 350여개 이상의 사이트에서 운영되고 있는 거대 Malware net이 6월 1주차 250여 개 웹서비스에서 악성코드 중계로 사용 되었던 링크(www.xxx.or.kr/popup_img/popup.js)가 2주차에는 140여 곳으로 줄었으며 지난 주말을 기해 악성링크가 추가-삭제를 반복하고 있다.
 
5월 5주차 보고서에서 언급했던 Malware Net(www.shinwoxxxxx.com/script/js/script.js)은 공개 이후 대폭 줄어 들었으나 또 다른 중계 링크로 대거 전환되었다. 6월 2주차에 전환된 Malware net은 (www.xxxxxxx.com/school02/flash/view.js)이며 213여 곳 이상의 웹 서비스에 추가되어 중계됐다. 또 두 곳의 Malware net을 통해 350여 곳 이상의 웹 서비스에서 악성링크를 중계한 사례가 발생되었다.
 
또한 현재 발견 된 것 중에서도 대규모 Malware net 이외에 다수의 Malware net이 운영 중이다.단 1~2일 만에 수 백여 개의 웹 서비스에 추가될 정도로 정교하고 대량 변조가 가능한 공격 도구를 확보한 것으로 추정된다.
 
또 공격자들은 전략적인 측면에서 탐지 회피를 위한 다수의 기법들을 사용하고 있으며 이 중에는 다수의 중간 경유지를 활용해 최종 악성링크 판별이 어렵도록 하는 시도가 대거 발견됐다.  
 
이러한 내용은 빛스캔(대표 문일준)과 KAIST 사이버보안센터(주대준 부총장)에서 공동 운영하는 보안정보 제공 서비스 6월 2주차 국내 인터넷 환경 위협 분석 내용이다.
 
이 분석 보고서는 국내에서 발생되는 악성코드 유포에 대해 직접 분석을 함으로써 위험의 흐름과 대응에 대해서 상세한 정보들을 제공하고 있다. 한편 실제 유료보고서에는 모든 IP 주소와 도메인 명이 공개되고 있어 보다 정확한 정보들을 접할 수 있다.
 
보고서에 따르면, 몇몇 은행의 인터넷 뱅킹을 특정 사이트로 유도하기 위한 공격의 온라인 전파가 계속 되고 있다고 밝혔다. Drive by download 형식으로 파일 업데이트가 아닌 웹 서비스 방문을 통한 대규모 유포 시도로 드러나 금융사들의 지속적인 주의가 요구된다.
 
더불어 분석 방해를 위한 가상머신(Virtual machine) 회피 기법 활용 및 국내 주요 백신에 대한 우회공격, 또 거의 대부분의 게임에 대한 프로세스 모니터링이 대규모로 발견되고 있다. 특히 최근 이슈가 되고 있는 디아블로 3 계정 탈취형 악성코드도 대량 유포되고 있는 상황이라고 전했다.
 
한편 백신 업데이트 방해를 위한 다양한 백신 업데이트 주소에 대한 Host 파일 변조가 발견되고 있고 루트킷에 의한 삭제 및 악성 프로세스 보호 기능이 추가된 악성코드도 유포되고 있는 실정이다.
 
전상훈 빛스캔 기술이사는 “악성코드 자체에서 분석방해를 위한 가상머신과 디버거를 탐지해 실행 흐름의 변경 및 실행시 난독화를 적용해 판단 및 분석을 어렵게 하는 기능이 다수 발견됐다”고 밝히고 더불어 “백도어 및 키로거 기능의 악성코드 유포가 증가하고 있고 6월 18일부터 Mass SQL 공격의 일종으로 추가된 nmmkmm.com/r.php 링크가 신규 발견되어 확산 중이다. 특히 산호세에 위치한 호스팅 업체에 배정된 IP 대역을 대규모 악성링크로 활용하고 있다. 호스팅 업체는 EGI Hosting이다”라고 설명했다.
 
지난 월요일(6월 18일) 기준 통계에 의하면, 발견된 악성링크 흔적은 2,600여 곳 이상이며 Malware Net은 거대 Malware net 두 곳이 현재도 활동 중에 있다고 보고서는 전한다.  
 
전 이사는 “근본 취약성 및 백도어를 제거하지 못한 상태에서 악성링크로 사용 되는 js 파일만을 삭제하는 것은 대책이 될 수 없다”며 “언제든 공격자가 원하는 시점에 계속해서 악성코드 유포에 이용 할 수 있는 상황임을 알고 본 보고서를 받는 기업과 기관들은 반드시 차단 정책을 적용해야 한다. 이를 모르고 방치했다가는 대형 보안사고로 이어질 수 있다”고 조언했다.
 
6월 2주차 악성코드 유포지로 직접 이용된 웹서비스들은 380여 개 이상이며 지난주 대비 증가했다. 악성코드가 실제로 내려오는 악성링크의 수치가 전주 대비 100% 이상 증가한 상태를 나타내고 있는 것은 그만큼 공격자들의 공격과 변화가 활발했음을 의미한다.
 
5월 보고서에서 최초 언급 되었던 Malware net들은 그 활용도가 이제 적정 기준점을 넘은 활발한 활동을 보이고 있으며 빠른 시간 내에 변경 되는 것으로 관찰 되고 있어 보고서는 향후 위험성에 대해서 강도 높은 우려를 표하고 있다. 현재 상태는 공격자가 매우 높은 수준의 자유를 가지고 자유롭게 활동하고 있는 단계에까지 올라선 상황이다.
 
5월 5주차 보고서에 언급된 Malware net(http://www.xxxxxxx.com/script/js/script.js)의 40% 가량이 6월 1주차 Malware net(www.xxx.or.kr/popup_img/popup.js) 250여 곳으로 확산 되었으며 6월 2주차에서는 6월 1주차의 Malware net(www.xxxx.or.kr/popup_img/popup.js)은 140여 곳으로 축소 되어 활용 되었으며 추가 Malware net 인(www.xxxxxx.com/school02/flash/view.js) 213 여 곳 이상에서 활동이 관찰 되었다고 한다.
 
전 이사는 “Malware net의 범위는 계속 확장 되고 빠른 변화를 보이고 있어서 향후 Malware net에 대한 변화와 영향력 추적에 계속 집중할 예정”이라며 “현재 Malware net으로 사용된 링크들은 수시로 활성화가 되고 있다. 5월 5주차에 언급된 링크는 현재 시간에도 살아 있는 상태를 유지하고 있다”고 경고했다.
 
또 그는 “IE 관련된 제로데이 공격 코드가 공개돼 활용되고 있다. 향후 대규모 공격에 사용 될 수 있기 때문에 주의를 기울여야 한다”며 “대규모 유포 발생 시 즉시 반영하고 경고메시지를 고객들에게 전달할 것이다. 현재까지 대규모 유포가 이루어지진 않았다”고 덧붙였다.  
 
6월 2주차 특징을 정리하면 다음과 같다. 모든 IP와 URL 정보는 공식 보고서에만 공개된다.  
-다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속 (최대 6종류의 취약성을 동시에 이용한 공격 코드 출현)
-악성코드 유포지의 대폭 증가 및 대량 유포 현실화 (향후 지속 예상)
-악성코드 유포자들의 전략적 행위 증가 및 범위 확대와 재활용 증가 (악성링크 자체의 탐지 회피를 위한 다양한 기법 동원)
-악성코드 분석 자체를 방해하기 위한 가상머신 우회기술, 루트킷(APT 형태) 유포 계속
-3월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속 및 주요 게임 및 백신 모니터링 및 업데이트 방해를 위한 Host 파일 변조 발견
-은행 사용자를 겨냥한 Host 파일 변조 기능의 악성코드 유포
 

-금융권 대상의 피싱 사이트 연결 대상

 
전 이사는 “사용자 PC에 대한 직접적인 공격을 일으키는 2주차 취약성은 주요 취약성 5개 가량에 집중이 되어 있으며 지난주와 동일하게 오라클 자바(Oracle Java) 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있다”고 밝히고 또한 “루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구된다”고 강조했다.
 
또 “패치 이외에도 다양한 방안을 강구해야 문제를 해결 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고 발생 가능한 위험을 제거했느냐가 핵심이 되어야 한다”고 조언했다.
 
공격자들이 모니터링하는 백신과 게임 프로세스의 종류는 아래와 같으며 V3, 알약, 네이버백신, 바이러스체이서 등 국내 대부분 백신 프로세스 이외에 거의 모든 국내의 게임들에 대해서 모니터링을 하고 있다. 게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있으며, 그 동안 산발적으로 발견되었던 ‘디아블로 3’ 관련된 게임 계정 탈취형 악성코드 기능이 웹을 통해 대규모 유포되었다.

 
문일준 대표는 “현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정해서 제공될 예정이다. 또한 공격자들이 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 하고 있는 것으로 보여 전략적인 움직임이 매우 많은 한 주로 총평을 할 수 있다. 향후 외부 공개 수준에 대해서 심각하게 고민을 해야 할 것 같다”고 밝혔다.
 
또 문 대표는 “주말에만 집중 되던 공격이 이번주에는 주중에도 이미 발생되어 활발하게 활동이 일어나고 있다”며 “인터넷 서핑을 주의해야 한다. 또 Cookie 값 ralrlea를 주의해야 한다. 물론 다른 쿠키 값들도 많지만 가장 많은 쿠키로 사용되는 값이다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있다”고 덧붙였다.
 
KAIST CSRC 주간보안동향 보고서는 1페이지 요약형태로 작성이 되며 무료 배포가 가능하다. 해당 서비스의 신청은 csyong95@kaist.ac.kr로 신청하면 된다.
 
또 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr로 하고 기관명, 담당자, 연락처 등을 기재해 보내면 된다. 시범 서비스는 기관과 기업별 1회에 한정하고 있다.
 
보고서를 위해 악성링크 자체 수집은 빛스캔 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터와 정보보호대학원이 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com