8월 5주차에는 제로데이 공격코드가 활성화됐던 8월 4주차에 비해 공격은 약화된 형태를 보이고 있다. 자바 제로데이 코드 취약성 'CVE-2012-4681'에 대해 오라클에서 지난주 비정기 패치를 발표함에 따라 공격자의 취약성 활용 빈도가 떨어지고 있는 것으로 추정된다. 지난주 취약성의 경우 오라클에서 유례를 찾기 힘든 비정기 패치를 배포할 만큼 공격자들의 공격코드가 강력했고 짧은 시간에 대규모로 활용 될 정도로 위험성이 높았다.
 
빛스캔(대표 문일준) 주간 보고서에 따르면, 이번주 공격 중에서는 신규 플래쉬 취약점 활용을 예정하고 있는 공격 코드가 발견되어 변화에 주목하고 있다고 한다. 해당 취약성은 현재 CVE-2012-1535 플래쉬 취약점을 활용하는 코드와 유사하며 지난 공격에서는 주석 처리되어 실제 공격에 활용되지는 않은 상태다. 공격 대상으로 설정된 Adobe Flash Player 버전이 11.3.300.270으로 CVE-2012-1535 취약점의 Flash Player 대상 버전과 일치하는 것으로 미루어 해당 취약점과 유사하거나 새로운 형태의 공격을 위한 코드로 짐작할 수 있는 상태다.
 
전상훈 빛스캔 기술이사는 “현재 공격적인 정보수집 형태를 가지고 있는 악성코드 출현이 계속 되고 있으며 추가 공격시도를 위한 다운로더 형태의 악성코드 발견도 계속되고 있다. 향후 추가적인 변화와 위험들이 곧 나타날 것으로 보이며 위험성이 높은 상태를 유지하고 있는 것으로 판단된다”며 “8월 5주차 전체적으로는 신규 악성링크 감소, 악성코드 유형 감소와 같이 전체적으로 공격이 감소한 상황을 보이고 있다. 다만 Java 제로데이 코드의 직접적인 활용과 8월 3주차에 루트킷과 백도어 유형이 대거 유포되었던 사이트들은 이번주 공격에서 추가적인 활동이 없었지만 감염된 PC들을 활용한 추가적인 이슈가 발생 될 수 있다”고 경고했다.

또 그는 "악성파일 분석 내용 중 국내 주요 백신들의 업데이트 주소를 변경하는 내역이 발견됐다. 추후 업데이트를 이용해 추가적인 위협들이 발생 할 수 있으므로 주의가 필요하다"며 " 기업 및 기관 차원에서는 해당 IP 에 대해 강력한 차단 정책을 수행해 추가 피해를 예방 할 수 있도록 만전을 기하시기 바란다"고 조언했다. 

 
빛스캔에서 분석한 이번주 공격의 특징을 정리하면 다음과 같다.
•자바 제로데이 취약점(CVE-2012-4681)을 활용하는 공격 및 Java만을 공격하는 Set 활용 증가(오라클이 비정기 패치를 즉시 발표 할 만큼 파급력 높았던 제로데이)
•백신 업데이트 주소를 변경하는 추가적인 위험요소 발견됨
•8월 3주차에 대규모 유포가 이루어졌던 루트킷, 백도어 유형의 경우 금주 차 활동 미미(감염된 좀비PC들을 활용한 추가 위험이 발생 할 수 있는 상태)
•APT 형태의 악성코드 유포 계속-권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인
•8월 첫째주에 언급한 Mass SQL i의 전세계적인 공격(한국, 오스트레일리아, 러시아, 미국 등) 출현 및 다양한 악성링크 활용, xxxx.nu/sl.php의 형태 계속
•6월 1주차 언급된 거대 MalwareNet의 상시적인 재활성화(www.xxxxxx.com/school02/flash/view.js)
•최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 계속. 다단계 유포 형태를 띄고 있으며 탐지 및 추적에 어려움이 예상됨
•백신에 탐지되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
•게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속 발견
•자바 제로데이 취약점은(CVE-2012-4681) 현재 오라클에서 공식 패치를 배포했음. 반드시 업데이트를 적용해야 함.
•MS XML(CVE 2012-1889) 취약성의 경우 업데이트를 하지 않은 분은 반드시 업데이트를 적용해야 한다.
•7월 3주차부터 사용률이 급상승한 Java 취약점인 CVE-2012-1723도 반드시 패치를 해야 한다. 이번주에는 1723만 단독으로 사용된 것들이 많이 포착되었다. 반드시 업데이트를 적용해야 한다.
•기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높다.
 
전 이사는 “MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경된다. 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용이 증가하고 있고 공격자의 의도에 의해 조종 당하고 있는 현실에서 사후대응과 사전대응의 차이는 매우 큰 차이를 가질 수 밖에 없다. 선제적인 사전대응이 가장 필요한 상황”이라고 강조했다.
 
그는 “MalwareNet 자체를 여러 곳에 활용하는 형태도 8월 24일에 발견되었으며, PCDS 상의 추적된 데이터로 살펴보면 악성링크는 모두 18곳 가량에 추가가 되었지만 24개의 링크 중 2개가 MalwareNet으로 사용되고 있다”며 “Impact Factor로 보면 위험성과 파급력은 31곳에 이를 정도로 높은 상태를 보이고 있다. 공격자는 단 한번의 클릭 만으로 전체 31곳 이상에서 동시에 악성코드 감염을 시킬 수 있는 상황이며 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태”라고 지적했다.
 
또 “현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도 웹 서비스에 방문만 해도 감염이 되는 공격코드들이 창궐하고 있다”며 “기본적인 문제를 해결 할 수 있는 보안패치는 반드시 적용 해야만 위험을 줄일 수 있으니 반드시 기관, 기업 내부적으로 강력한 권고가 이루어져야 한다. Oracle Java 취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있어 전체 보안 수준 관리에 노력을 기울일 필요가 있다”고 강조했다.
 
이번주 공격에 사용된 취약성 비율을 보면, 지난주 대비 감소한 내역을 볼 수 있으며 Java 관련 제로데이 공격이 감소하고 MS XML 취약성을 이용한 CVE 2012-1889 취약성이 높은 빈도로 사용 되고 있음을 볼 수 있다. 현재 한국 인터넷을 위협하는 공격자들은 세계적 수준의 역량을 보유 하고 있으며 한국은 그 대상이 되고 있는 상태다.
 
빛스캔 정식보고서 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr로 기관명, 담당자, 연락처 등을 기재해 보내주면 된다. 또 이 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com