빛스캔(문일준 대표)과 KAIST 사이버보안연구센터(주대준 부총장)에서 공동 운영하는 보안정보 제공 서비스 6월 3주차 국내 인터넷 환경의 위협 분석 보고서 내용에 따르면, 이번주 특징은 Malware net의 적극적인 활용은 계속되고 전체 Malware net으로 이용되는 웹서비스들은 Malware net 3개가 도합 671곳의 웹 서비스에서 운영되고 있는 것으로 나타났다.
 
또한 악성링크들을 Malware net을 통해 대규모로 감염시키고 수시로 변경되는 형태가 계속 되고 있다. 악성링크의 신규 출현은 전주 대비 절반 가량 감소했으나 Malware net의 적극적인 활용으로 대신하는 것으로 추정된다. 그리고 다중 취약성을 활용하는 악성링크가 증가했으며 이중 패치가 발표되지 않은 2012-1889(MS XML) 취약성 공격도 대거 포함되어 이용되고 있는 것으로 조사됐다.
 
전상훈 빛스캔 기술이사는 “맬웨어넷은 계속 확장되고 있으며 공격자의 의도에 따라 수시로 악성링크 중계지로 활용되고 있다”며 “중간 경로를 이용한 효율적 공격들이 지속적으로 관찰되고 있어서 영향력과 위험성은 계속 증가하고 있다”고 경고했다.  
 
현재 Malware net의 트리거로 사용 되고 있는 대표적인 링크는 www.xxxx.or.kr/popup_img/popup.js이며 현재 수치는 349곳에 들어가 있는 것으로 확인 되고 있다. PCDS 관찰 결과 단 2일만에 200여 곳 이상에 추가된 것으로 파악 되고 있으며 공격자가 이미 해당 서버에 대해 권한을 확보한 상태이다. 또 주중 혹은 주말에 수시로 악성코드로 연결되는 코드들을 삽입하고 있다.
 
전 이사는 “현재 발견된 것 중에서도 대규모 Malware net 이외에 다수의 Malware net이 운영 중이다. 단 1~2일 만에 수 백여 개의 웹 서비스에 추가될 정도로 정교하고 대량 변조가 가능한 공격 도구를 확보한 것으로 추정된다”고 설명했다.
 
또 “분석 방해를 위한 Virtual machine 회피 기법 활용 및 국내 주요 백신에 대한 무력화 그리고 거의 대부분 게임에 대한 프로세스 모니터링이 계속되고 있다. 특히 인기 게임인 디아블로 3 계정 탈취형 악성코드의 웹서비스를 통한 대량 유포가 계속되고 있어 주의를 기울여야 한다”고 강조했다.
 
한편 빛스캔 측은 “6월 2주차 브리핑에서 언급된 패치 없는 제로데이 공격이 대규모 출현했다. CVE 2012-1889(MS XML Core Service Remote Code Execution) 취약성을 이용한 공격기법이 직접적으로 활용되고 있다”며 “공격 성공률이 기존 60% 가량에서 더 높아졌다. 이 공격은 개별 사이트의 공격에 이용된 것이 아니라 웹 서비스 방문자의 PC를 노린 대규모 공격이므로 국내의 IE 브라우저 사용 비율로 볼 때 공격 성공률은 대폭 높아졌을 것”이라고 분석했다.
 
악성코드 비율을 보면, PC 권한 획득을 통한 게임 계정 유출 및 백도어 기능이 금주 발견된 전체 악성코드의 80% 가량을 차지할 정도로 확대되고 있다. 또 금주 공격에 이용된 악성링크는 미국의 호스팅 업체들을 대규모로 이용하고 있으며 지난 주에 이어 EGI Hosting은 여전히 이용되고 있는 상태다. 계정 탈취 이후 URL 접속 시도하는 IP 대역은 타이완, 미국 Global Telecom, Egi Hosting의 IP 대역이 이용된 것으로 나타났다.
 
문일준 빛스캔 대표는 “이번주 월요일 기준 통계에 의하면 발견된 악성링크 흔적은 1900여 곳 이상이며 Malware Net은 거대 Malware net 두 곳이 현재도 활동 중에 있다. 또한 근본 취약성 및 백도어를 제거하지 못한 상태에서 악성링크로 사용되는 js 파일만을 삭제하는 것은 대책이 될 수 없다”고 밝히고 “언제든 공격자가 원하는 시점에 계속해서 악성코드 유포에 이용할 수 있는 상황임을 알고 보고서를 받는 기업과 기관에서는 반드시 차단 정책을 적용해야 한다”고 조언했다.
 
이번주 악성코드 유포지로 직접 이용된 웹사이트들은 200여 개 이상이며 지난주 대비 감소되었으나 Malware net의 규모가 671곳 이상의 규모를 가짐에 따라 도합 870개 이상의 웹서비스들에서 악성코드를 유포 한 결과가 나타나고 있다. 5월 보고서에서 최초 언급 되었던 Malware net들은 그 활용도가 이제 적정 기준점을 넘은 활발한 활동을 보이고 있으며 빠른 시간 내에 변경되는 것으로 관찰되고 있다. 이에 대해 빛스캔 측은 향후 위험성에 대해 강도 높은 우려를 표명하고 있다. 현재 상태는 공격자가 매우 자유롭게 공격을 진행하고 있는 단계다.
 
상위 Malware net은 다음과 같다.
1. www.xxx.or.kr/popup_img/popup.js - 349곳
2. www.xxxxxoosung.com/school02/flash/view.js - 218곳
3. www.xxxxxoosung.com/script/js/script.js -104곳
 
이중 2, 3번의 경우 동일 웹서비스에서 경로를 달리해서 이용되고 있는 실정이다. 2번의 경우 빛스캔의 PCDS(Pre Crime Detect System)에 따르면 현재도 증가를 보이고 있다.

 
빛스캔 측은 “현재 Malware net의 범위는 계속 확장되고 빠른 변화를 보이고 있어서 향후 Malware net에 대한 변화와 영향력 추적에 계속 집중 하고 있으며 변화도 관찰 할 수 있도록 내부 구조를 유지하고 있다”며 “현재 이 Malware net의 해결을 위해서는 두 가지 방안이 있을 수 있다. 하지만 두 가지 방안 모두 현실적으로 한계를 가지고 있는 상황”이라고 밝혔다.
 
두 가지 방안중 하나는 670여 곳 이상의 웹 서비스들에 들어 있는 Malware net을 제거 하는 방안이다. Malware net link 제거 이후 근본적인 웹 서비스 취약성의 제거를 병행해야 한다. 또 하나는 공격자가 확보한 Malware net 서비스 자체에 대한 강력한 보안 대책이 필요하다.  
 
전상훈 이사는 “악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어지지 않고 악성코드 유포를 인지도 못하는 상태는 여전히 계속 되고 있다. 또한 대응이라고 해봐야 근본 원인 제거 없이 악성링크가 추가된 부분만을 제거하는 것이 대응의 전부”라며 “공격대상에 포함된 모든 서비스들이 재활용되는 악순환이 계속 되고 있다. 이제 공격자들은 자유로운 재활용을 넘어 악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계를 계속 유지하고 있다”고 강조했다.
 
6월 3주차 특징을 요약하면 다음과 같다. 모든 IP와 URL 정보는 공식 보고서에만 공개된다.
 
-다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속(7가지 형태로 취약성을 결합한 하이브리드 공격 실행함)
 
-제로데이 공격인 2012-1889의 적극적인 활용으로 공격 성공률이 매우 높아졌을 것으로 예상됨
 
-악성코드 유포자들의 전략적 행위 증가 및 범위 확대와 재활용 증가(악성링크 자체의 탐지 회피를 위한 다양한 기법 동원)
 
-악성코드 분석 자체를 방해하기 위한 가상머신 우회기술, 루트킷(APT 형태) 유포 계속
 
-3월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속(금융권 및 백신 업데이트 방해를 위한 Host 파일 변조는 발견 되지 않음)
 
-대형 연예 기획사 및 6월 1주차에 언급된 메이저 언론사들의 악성코드 유포는 계속 되었음(관련 기사 게재 예정)
 
사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 이외에 신규 활용된 MS XML 취약성이 추가되어 공격에 이용 되고 있으며 지난주와 동일하게 오라클의 자바 취약성과 플래시 취약성에 대한 공격 비율이 가장 높은 비율을 차지하고 있다. 또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구되고 있다.
 
전 이사는 “패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있다. 현재 모든 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고 발생 가능한 위험을 제거했느냐가 핵심이 되어야 한다. 사전에 위협을 얼마나 제거하고 위험을 줄일 수 있느냐가 핵심이 되어야만 현재 문제를 해결 할 수 있다”고 강조했다.
 
빛스캔 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속적으로 관찰 되고 있어서 위험성이 높다. 또한 백도어 기능 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제해 정체를 은폐하고 있으므로 사전 대응에 만전을 기해야 한다.
 
또 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분이다.모두 시스템에서의 백신 프로세스를 중지시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 공격전환이 될 수 있는 상황이다.
 
모니터링 하는 프로세스의 종류는 국내 대부분 백신 프로세스 이외에 거의 모든 국내의 게임들에 대해서 모니터링을 하고 있다. 게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있으며, 그 동안 산발적으로 발견되었던 디아블로 3 관련된 게임 계정 탈취형 악성코드 기능은 여전히 계속 유포 되고 있다. 게임 계정 탈취형 악성코드들이 현재 전체 발견 수치의 80% 가량을 차지 하고 있으며 모든 악성코드들은 기본적으로 국내 사용되는 백신에 대한 확인 및 종료 기능이 들어 있으며, 국내 백신 탐지를 우회 하고 있는 상황이다.

현재 공격자들에게 모니터링 당하고 있는 국내 백신은 바이러스체이서, 네이버 백신, V3, 알약 등이다. 게임으로는 넥슨 OTP, 게임하이, 한게임, 넷마블, 레이시티, 피파 온라인2, 피망, 던전 앤 파이터, 드래곤 네스트, 바람의 나라, 마비노기 영웅전, 월드 오브 워크래프트, 리니지, 메이플스토리, 디아블로3 등이다.  
 
문일준 대표는 “현재 공격자들도 전략적인 움직임을 보이고 있어 공개적으로 공격IP 대역을 알리는 부분은 보고서 구독고객에게만 한정해 제공된다. 또한 어떤 방식으로든 공격자들이 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부하고 있는 것으로 보여 전략적인 움직임이 매우 많은 한 주로 총평을 할 수 있다. 향후 외부 공개 수준에 대해서 심각하게 고민을 해야 할 것 같다”고 밝혔다.
 
이 보고서는 빛스캔의 PCDS(Pre Crime Detect System)와 KAIST 정보보호대학원의 분석 역량이 결집된 분석 보고서다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응하도록 방향 제시를 하고 있다.
 
KAIST CSRC 주간보안동향 보고서는 1P 짜리의 요약형태로 작성이 되며 무료 배포가 가능하다. 해당 서비스의 신청은 csyong95@kaist.ac.kr로 하면 된다.
 
보고서 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr이며 기관명, 담당자, 연락처 등을 기재해 보내면 된다. 시범은 기관/기업별 1회에 한정하며 주위의 기업 및 기관들에게 정보 차원의 전달도 가능하다.
 
악성링크 자체 수집은 빛스캔 PCDS (Pre crime detect system)를 통해 수집하며 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행중이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com