“8월 2주차부터 다수 발견됐던 지능형지속위험(APT) 악성코드가 더욱 강력해진 성능으로 재발견 됐다. 이 악성코드들은 ARP 스푸핑 공격과 동일 네트워크 대역에 대한 적극적인 정보 수집 활동이 늘어난 형태가 주를 이루며 금융권에 대한 피싱과 연관된 웹 페이지 변경을 통해 정보를 빼내고 조작하는 기능까지 가지고 있는 것으로 분석됐다.”
 
빛스캔(대표 문일준)은 이번주 주간동향 보고서 서두를 이렇게 시작하고 있다. 매주 심각한 상황이라 그 심각성에 대해 둔감해지는 것이 두려울 정도다. 
 
전상훈 빛스캔 기술이사는 “현재 공격적인 정보 수집 형태를 가지고 있는 악성코드 출현 비율이 높은 상태를 보이고 있으며 추가 공격시도를 위한 다운로더 형태의 악성코드 발견이 급증한 형태를 보이고 있다. 향후 추가적인 변화와 위험들이 곧 나타날 것으로 보이며 위험성이 한층 높아진 것으로 판단된다”고 밝혔다.
 
또한 “원격에서 사용자의 원격화면 정보, 내부 파일, 캠 실행 등을 직접 제어할 수 있는 Gh0st RAT(Remote Administration Tool) 유형의 악성코드 유포가 대량으로 감지됐고 향후 정보유출이나 내부망 침입 및 ARP 스푸핑 증가로 인한 현상들이 나타날 것으로 예상된다”고 경고했다.
 
더불어 이번주 공격에 이용된 특징 중 하나로, 최초 웹사이트 방문 시에 실행되는 공격코드의 형태 변화가 있었다. CVE-2012-0754 플래쉬 취약점 대신 CVE-2011-1255 IE 취약점을 이용한 공격이 급증한 것이 관찰되었다고 밝히고 있다.
 
보고서에 따르면, 단순히 이메일을 통한 타깃형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포로 위험성이 매우 높은 상태다. 따라서 기업과 기관별로 인터넷 접근 시에 많은 보호대책을 적극 반영 해 대응을 해야 한다. 이번주에 발견된 APT 유형의 악성코드는 올해 초에 많이 발견되었던 형태이며 기본기능으로 감염 컴퓨터의 보안정책을 비활성화시키고 취약한 서비스를 실행시켜 공격이 가능하도록 구성되어 있다는 점이다.
 
또한 내부 사설망 및 감염 IP 대역에 대한 스캔 기능 이외에 다운로더까지 확인 됨에 따라 추가적인 피해가 우려 되고 있다.
 
빛스캔 측은 향후 추가 발견 및 현상 관찰이 계속 되겠지만 현재 악성코드를 받아오는 곳에 대해서는 IP에 대한 즉시적인 차단이 필요하다고 권고하고 있다. 차단 IP대역은 빛스캔 정식 보고서에는 공개되고 있다.
 
이번주 공격의 특징을 정리하면 다음과 같다.
 
•게임계정 탈취를 위한 악성코드의 변화 감지(IP 대역 스캔 기능 이외)
•계속 탐지되고 기사화되어 공격자들은 탐지가 어렵도록 여러 단계에 걸쳐 간접적으로 공격 효과를 노리고 직접적인 공격들은 자제
•APT 형태의 악성코드 유포 확대(권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인
•8월 1째주에 언급한 Mass SQL i의 전세계적인 공격(한국, 오스트레일리아, 러시아, 미국 등) 출현 및 다양한 악성링크 활용, xxxx.nu/sl.php의 형태 계속
•6월 1주차 언급된 거대 MalwareNet의 재활성화(www.xxxxxxxx.com/school02/flash/view.js)
•MalwareNet의 활성화(5~20개 규모의 신규 Malwarenet 출현 및 변경 계속됨)
•주요 언론매체 및 연예기획사 악성코드 유포(금주 중 여러 특징을 보인 한 곳에 대해 기사화 예정)
•P2P 및 언론 매체를 통한 악성코드 유포뿐만 아니라 호스팅업체, 거래 사이트, 온라인 쇼핑몰, 상품권 판매 사이트, 택배 사이트, ebook 등 다양한 사이트들을 활용한 악성코드 유포 계속
•최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 계속
•백신에 탐지되지 않는 다운로더 및 백도어 형태의 악성코드 유포 증가
•게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속 발견
•MS XML(CVE 2012-1889) 취약성의 경우 업데이트를 하지 않았다면 반드시 해야 함.
•7월 3주차부터 사용률이 급상승한 Java 취약점인 CVE-2012-1723도 반드시 패치 해야 함.
 
참고로 맬웨어넷(MalwareNet)은 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미한다. 일반적인 사이트에 악성링크를 직접 입력하는 것이 아닌 몇 단계를 거친 링크들을 입력해 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용 되는 프레임을 MalwareNet으로 정의하고 있다. 즉 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생되는 상황을 말한다.
 
한편 빛스캔 기술 분석 보고서에는 악성링크로 직접 이용되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있다. 이번주에는 주로 언론사 및 국내 기업, 기관들의 주소가 직접 활용되었다.
 
전상훈 이사는 “빛스캔 PCDS에 탐지된 내용을 보면 공격자들은 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있다. 변경 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크다”며 “때로는 1시간에 한 번씩 최종악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없다. 백신은 백신만의 역할 부분이 있으며 현재 상태의 문제 해결을 위해서는 사전에 얼마나 차단을 하느냐가 핵심이다”라고 강조했다.
 
KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능하다. 해당 서비스의 신청은 csyong95@kaist.ac.kr로 신청하면 된다.  
 
정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr로 하면 된다. 기관명, 담당자, 연락처 등을 기재해 보내면 된다. 시범은 기관/기업별 1회에 한정하고 있다.
 
보고서를 위한 악성링크 자체 수집은 빛스캔의 PCDS(Pre crime detect system)를 통해 수집하고 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터와 정보보호대학원이 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com