MS XML Core Service 제로데이 취약점 출현 이전에는 공격 성공률이 60%였지만 제로데이를 적극 활용한 단계에서는 최소 90%의 공격 성공률을 보여주고 있다. 즉 10명을 공격하면 9명은 감염이 된다는 것이다. 따라서 공격자들은 Malware-net을 운영하지 않아도 충분한 공격효과를 거둘 수 있기 때문에 이번주는 적극적으로 악성코드 범위를 확대하지 않고 있다. 하지만 7월 11일 MS의 패치가 배포된 이후 Malware net의 확장 및 범위는 적극적으로 늘어날 전망이다.  
 
빛스캔(대표 문일준)과 KAIST 사이버보안연구센터(주대준 부총장)에서 공동 운영하는 보안정보 제공 서비스 7월 1주차 국내 인터넷 환경의 위협 분석 내용이며 본 보고서에 따르면 “전주 대비 악성링크가 감소된 비율을 보이고 있으며 MS XML 취약성에 대한 공격이 매우 적극적으로 이용 되어 상당한 피해가 발생 되었을 것”이라며 “대규모 유포 시도가 탐지된 6월 3주차 이후 Malware-net의 활동은 대규모로 감소된 형태를 여전히 보이고 있으며, 신규로 1~20개 이내의 Malware net의 운영은 계속 되고 있다. 언제든 규모 확대가 적극적으로 가능한 만큼 계속해서 관찰하고 추적을 하고 있으며 특이 사항 발견 시에는 즉시 반영 되어 전달이 될 것”이라고 밝혔다.

 
특히 공격자들은 6월 3주차부터 검증 이후 대거 MS XML 공격 코드를 적용했고 금주 차에는 거의 모든 공격 세트에 적용을 시킨 상태로 활용되었다. 전체적으로 악성링크의 수치는 감소했고 발견된 악성링크들 대부분이 XML 취약성을 공격해 이전의 규모와 범위 확대로 거둔 효과와 동일한 결과를 얻은 것으로 보고서는 전하고 있다.
 
또 악성링크를 줄인 이후에도 공격성공률이 일정 수준 이상을 유지하고 있어서 범위를 확대 시키지 않는 것으로 분석했고 각 주요 인터넷 서비스별 방문자가 상위인 웹서비스를 타깃화해서 소스를 변조하고 악성코드를 유포함으로써 공격성공률을 늘리는 방식을 적극 활용 한 한 주로 요약된다.
 
이번주 공격특징을 살펴보면 다음과 같다.   
◇Malware-Net 활동의 축소(소규모 Malware net은 계속 활동) 및 제로데이 취약성 공격 활용 대부분 악성링크 이용
 
◇파일공유, 언론사, 커뮤니티, 연예기획사, 소셜쇼핑, K-pop, 부동산 서비스, 포털, 종교 등을 총망라한 상위 사이트에 대한 악성코드 유포
 
이번 공격들은 대부분 MS 제로데이 공격코드도 동시에 영향을 미치도록 되어 있다. 이번주 파악된 MS 제로데이 유포와 연관된 내용은 18종, 59개 정도의 웹서비스에서 활동했으며 대형 사이트들이 해당 되었다. 그 동안 활동이 미미했던 파일 공유 사이트들도 상위 5개의 웹서비스에서 중계 된 상황이다.
 
또 파일 공유 사이트 및 소셜쇼핑의 경우 3개월 이상 소규모적인 유포 시도들만 있었는데 금주 차에는 적극 활용 되었으며 그 의미는 근본 취약성은 그대로 공격자들이 보유하고 있고 언제든 이용 할 수 있는 상태라는 것을 의미한다.
 
◇최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 하이브리드 형태의 악성링크 공격 계속
 
◇국내 주요 백신들에 대한 시스템 파일 직접 변조 발견( V3, 알약 대상) 및 백신 서비스(맥아피 보안 서비스 업데이트)로 위장한 서비스 등록 발견
 
◇게임 계정 이외에 문화상품권 및 게임머니 거래 사이트에 대한 계정 탈취 시도가 최초 발견
 
빛스캔 측은 “대부분의 게임 계정 탈취 및 백신 서비스 우회는 계속 되었으며, 계정 탈취는 BHO를 이용한 유형이 가장 많이 발견되고 있어 해당 부분에 대한 전문분석 제공 예정”이라며 “지난주 차에 전달한 전문분석의 연결 편으로 제공 될 예정”이라고 말했다.
 
빛스캔 전상훈 이사는 “사용자 PC에 대한 직접적인 공격을 일으키는 취약성은 복합적으로 사용 되고 있으며 지금까지 많은 비중을 차지 하였던 Java 취약성 및 Flash 취약성 공격은 소폭 감소한 반면 MS의 XML 취약성 공격코드는 대거 채용되어 활용이 되었다”고 밝히고 “대부분의 APT 및 백도어 유형들이 java 취약성을 이용했으나 이번주에는 MS XML 취약성을 이용한 APT 유형들이 발견 되었다”고 소개했다.
 
그는 “사용자 PC에 설치 되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현 하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있다. 항상 전하지만 지금과 같은 상황을 가장 염려하고 있으며 사후 대응이 아닌 사전 대응에 중점을 두어야 된다고 주장한 강력한 원인이기도 하다”고 강조했다.
 
전 이사는 또 “현재 모든 솔루션들은 사후 대응에 중점을 두고 있는데 가장 중요한 것은 사전에 대응이 되는 것이냐가 핵심이다. 또한 발생 가능한 위험을 얼마나 컨트롤 할 수 있는지가 핵심이라 할 수 있으며 문제 해결책을 찾을 수 있을 것”이라며 “이번 XML 사안에서 보듯이 3주 가량 무방비 상태에서 노출이 되었으며 단 3주 만에 공격자들은 대거 해당 취약성을 대거 이용하는 형태를 보일 정도로 빠른 적응력을 보이고 있다. 향후에도 패치가 없는 제로데이 출현 시 빠르게 이용 할 것으로 보이므로 사후 대응 측면 보다는 사전에 위험을 제거 할 수 있는 선제적인 대응력이 핵심이 되어야 할 것”이라고 조언했다.
 
빛스캔 문일준 대표는 “이번주 총평을 하자면 제로데이의 적극적인 활용이다. 방문자가 상위인 서비스들을 적극 공략했으며 범위의 확대 보다는 효율을 높이는 것에 집중했다”며 “제로데이 공격이 증가한 가장 큰 이유는 공격에 대한 효과가 충분히 검증되었다는 반증이라 할 수 있으며, 향후에도 유사 사례는 계속 발생 할 것으로 예상 되고 있다. 대규모 유포 시도에 대해서 활용된다면 언제나 가장 먼저 정보 제공이 가능함을 약속한다”고 밝혔다.
 
KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능하다. 해당 서비스의 신청은 csyong95@kaist.ac.kr로 신청하면 된다.
 
정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr이며 기관명/ 담당자/ 연락처를 작성해 보내주면 시범은 기관/기업별 1회에 한정해 받아 볼 수 있다.
 
보고서 내용의 악성링크 자체 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com