7월 마지막주 악성코드 동향을 살펴보면 Java Applet 관련 취약점을 이용한 악성코드 유포가 증가하고 있고 플래시 취약점(CVE-2012-0754) 또한 가파르게 증가하고 있다. 7월 4주차 감염 취약점 통계를 살펴보면, 전체 취약점 비율 62%가 Java Applet 관련 취약점에 해당한다.
 
Java Applet 관련 취약점은 Heap Sparay와 같은 부가적인 공격기법을 필요로 하지 않고 단순히 Java JRE 버전에만 의존적이기 때문에 공격 측면에서 손쉽게 악성코드를 유포시킬 수 있다는 장점이 있기 때문에 공격자들이 악성코드 유포에 적극 활용하고 있다.
 
문일준 빛스캔 대표는 “Java Applet, 플래쉬 관련 취약성 비율이 매우 많이 증가하고 있으며, 기술보고서에 기술된 악성링크 유형에 대부분 포함되어 있기 때문에, 그 감염비중이 매우 크다”며 “사용자들은 주기적인 보안 업데이트를 통해 항상 최신 버전의 Java JRE, Flash 사용 및 적극적인 패치를 일상화 해야 한다”고 강조했다.
 
또한 MS XML 취약점(CVE-2012-1889) 관련 공격이 7월 3주차부터 다시 증가하고 있는 추세이며 7월 4주차의 악성링크에 모두 포함되어 있다. 패치를 발표 했음에도 불구하고 관련 공격이 증가 추세에 있다는 것은 그만큼 사용자들이 패치를 하지 않는다는 반증이기도 하다. 반드시 패치를 해야 한다.

 
전상훈 빛스캔 기술이사는 “모든 악성링크들은 초기에 사용자 브라우저 종류 및 버전을 체크하고 그에 맞는 공격 부분으로 분기한다”며 “공격성공률을 확인하기 위한 통계 정보 수집은 항상 존재하며 각 IE, Java, Flash 부분에 대한 권한 획득 부분으로 분기해 그에 맞는 공격코드들을 실행한다. 그 이후 PC 권한을 획득하고 최종 악성코드들을 다운로드 시켜  PC에 설치하게 된다”고 설명했다.
 
빛스캔과 KAIST 사이버보안연구센터(주대준 센터장/부총장)에서 공동 운영하는 보안정보 제공 서비스 7월 4주차 국내 인터넷 환경 위협 분석 보고서는 이번주 공격의 특징을 다음과 같이 정리하고 있다.
 
•MalwareNet의 활성화 ( 5~20개 규모의 신규 Malwarenet 출현)
•지난 주에도 언급하였던 MalwareNet인 eyecatalog.co.kr에서 또다시 악성코드 중계지로 악용. (해당 사이트는 이미 공격자가 모든 권한을 가지고 자유자재 변경을 하는 곳이므로 추가 피해가 발생 할 수 있으며 예의 주시하고 있습니다.)
•P2P 및 언론 매체를 통한 악성코드 유포뿐만 아니라, 호스팅업체, 거래 사이트, 온라인 쇼핑몰, ebook 등 다양한 사이트들을 활용한 악성코드 유포
•최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 계속
•다운로더 및 백도어 형태의 악성코드 유포 증가 (향후 어떤 방식으로 진화할 지 주목)
•게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속 발견
•대부분의 게임 계정 탈취 및 백신 서비스 killing은 계속 되었으며, 계정 탈취는 BHO를 이용한 유형이 가장 많이 발견 되고 있어 해당 부분에 대한 전문분석은 6월 2주차에 전달해드린 악성 BHO 파일 분석에 자세히 기술됨. 금주 전문분석은 게임 계정 탈취에 대한 기능적 전문분석 자료 제공
 
전상훈 이사는 “최근에 언론지상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5. 6월 빛스캔 정보제공 서비스에서 언급했던 부분으로 당시 상당수의 악성코드가 유포되었을 것으로 추정이 되며 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있다”고 설명했다.
 
또 전 이사는 “백신들에 대한 업데이트 주소 변경 내용들도 마찬가지다. 빛스캔 서비스에서 제공되는 정보들은 시일이 지날 수록 영향력이 계속 커질 수 밖에 없는 정보들에 대한 분석이 주된 내용”이라며 “항상 한달 가량의 보고서 내용들을 살피고 계속적으로 대응을 해야만 문제 발생 부분을 줄일 수 있다. 모든 부분에 있어서 사후 대응이 아닌 사전 대응으로 피해를 예방 하도록 하는 것이 가장 중요하다”고 밝혔다.
 
이번주 공격에 사용되었던 MalwareNet의 악성링크는 전자 카탈로그 솔루션 전문업체인 eyecatalog이며, 20여 곳에서 동시에 악성코드 유포에 활용되었다. 지난 주에도 악성링크로 악용되었지만 대처가 되지 않아 이번주에도 다시 악용되었다. eyecatalog라는 회사는 ebook 제작 솔루션 업계 1위 사이트다. 공기업이나 학교에 많은 납품을 하고 있어서 연관성이 있을 경우 추가 피해는 계속 될 것으로 빛스캔 측은 보고 있다.
 
또 다른 MalwareNet은 pas.dabori.com이며 보험사이트다. 악성링크로 이용된 경로는 pas.dabori.com/test/xxxx/xxxx.js다.
 
전상훈 이사는 “사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 상황에서 웹사이트에 방문만 해도 감염이 되는 공격코드들이 창궐하고 있다”고 주의를 당부했다.
 
또 그는 “빛스캔 PCDS(Pre Crime Detect System)에 탐지된 내용을 바탕으로 살펴보면, 공격자들은 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있다. 이렇게 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크다”며 “심하면 1시간에 한 번씩 바꾸는 악성코드를 백신만으로는 막아낼 수 없는 것이다. 백신은 백신만의 영역이 있어 사전 차단과는 거리가 멀다”고 말했다.
 
현재 빛스캔에서는 악성링크의 판별뿐 아니라 최종 악성코드의 수집과 관찰까지 진행되고 있으며 제공 가능한 상태로 유지 되고 있다.
 
KAIST CSRC 주간보안동향 보고서는 1P짜리 요약형태로 작성이 되며 무료 배포가 가능하다. 해당 서비스의 신청은 csyong95@kaist.ac.kr로 신청하면 된다.
 
정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr로 하면 되고 기관명, 담당자,  연락처 기재가 필요하다. 시범은 기관, 기업별 1회에 한정한다. 보고서 분석은 악성링크 자체의 수집은 빛스캔의 PCDS(Pre crime detect system)를 통해 수집하며 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com