공격자들이 매우 능동적으로 악성링크 주소를 변경하는 것이 관찰됐다. 최초 악성링크는 물론이고 최종 악성파일에 대한 변화도 계속 되고 있어서 탐지가 어려운 상태가 계속 되고 있다. 이제 주말과 주중 모두 대응해야 하는 상황이다.
 
빛스캔(대표 문일준) 관계자는 “단 3시간 만에 100여 곳 웹서비스에 악성링크를 추가하는 공격자들, 기존에 활용되던 악성링크의 내용을 단 1~20분만에 모두 동일한 악성링크로 변경 할 수 있는 공격자들의 높은 수준의 자유로움은 현재 환경을 심각할 정도로 위협하고 있다”고 경고했다.
 
빛스캔 보고서에 따르면, 지난주 KBS 사이트에서 악성코드를 유포한대 이어 10월 4주차에는 두루누리 사회보험 사이트에서 악성코드를 유포하는 다단계유포망(MalwareNet)이 2주 연속 이용된 정황이 포착됐다. 두루누리 사회보험은 신뢰를 기반으로 보험이라는 서비스를 제공하는 곳이다.
 
공격자들은 지난 수요일에도 두루누리에 악성코드를 유포했다가 지금은 통계 페이지에만 넣는 치밀함을 보이고 있다. 전상훈 빛스캔 기술이사는 “사용자들의 접속량을 판단 후 가장 적합할 때 언제든 공격코드를 넣는 형태를 자주 보이고 있다”며 “주중 공격도 계속되고 있다. 이제는 주말과 주중 모두 경계를 강화해야 한다”고 밝혔다.
 
또한 대학과 미스터 피자에서 악성코드를 유포한 정황도 포착됐다. 악성코드를 유포하는 악성링크는 mrpizza.co.kr 메인 페이지와 주문을 위한 웹서버 모두에 추가 되어 있었으며 현재도 존재하고 있다. 신속한 조치가 필요한 상황이다.

 
이외에도 언론사의 다양한 서비스를 통해서도 악성코드를 유포하는 행위가 발견되었다. 악성코드유포 언론사는 뉴스토마토이며 해당 뉴스페이지 및 TV 페이지 등에서 유포가 이루어진 것으로 드러났다. 현재도 한곳은 정상으로 위장해 남아 있는 상태다. 해당 악성링크는 etomato.unitel.co.kr/js/top.js이며 최종 악성링크는 173.245.86.201/pic/img.js이다. 최종 악성링크는 미스터피자 웹사이트에 추가된 악성링크와 동일한 링크다. 국내 사이트인 Unitel.co.kr 하위 도메인을 해킹하고 이 도메인을 이용해 뉴스토마토로 위장해 악성코드를 유포하는 중이다.
 
전 이사는 “이들 사이트에서 유포한 악성코드들은 모두 게임 계정탈취 및 금융정보 탈취를 목적으로 하는 악성코드로 드러났다”며 “브라우저단에 BHO로 등록해 이벤트를 체크하고 특정 사이트에 접근하여 정보를 입력할 경우 피싱사이트로 연결하거나 정보를 탈취하는 유형으로 확인 되고 있다. 국내 사이트를 해킹하고 또 연관관계까지 고려해 또 다른 사이트를 공격하는데 이용되고 있는 것”이라고 설명했다.  
 
또 그는 “이번주에만 새로 생성된 악성링크들은 최소 300여 곳 이상의 주요한 웹서비스들에서 적극적으로 악성코드 유포를 시도했으며 그 피해는 클 것으로 예상된다”며 “이젠 주중에도 공격은 일상적으로 일어나고 있다. 최종 악성파일은 짧게는 30분 주기로 변경을 하기도 하며 보호체계를 농락하고 있다. 국가의 보호체계 및 민간의 보호체계를 비웃으며 넘나드는 공격자들을 이젠 더 가까이에서 느낄 수 있다”고 밝혔다.   
 
빛스캔 보고서에 따르면, 해외 이슈로는 악성코드 제작자들이 자동분석체계를 우회하기 위해 마우스 버튼 동작을 통해서만 동작하게 하는 악성코드가 출현했다는 소식이다. 악성코드 수는 넘쳐나는데 자동분석체계까지 우회하는 방법까지 등장한 상황으로 보아 공격자들의 절대적인 우위 상황은 지속되고 있다. 공격자들은 클릭 한 번에 수 많은 변종들을 만들어내지만 방어하는 입장에서는 이것을 모두 일일이 수동으로 분석하고 있는 수준에 그치고 있다.
 
10월 4주차 빛스캔 분석보고서에 따르면 악성코드 공격의 특징은 다음과 같다.
 
•9월 4주차, 10월 2주차 이후 또다시 DDoS 공격 수행 악성코드 유포
•8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가, 감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태.
•APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속
•MalwareNet(다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적으로 이용됨
•3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견
•최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태 의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
•백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
•게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
•백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨
 
빛스캔 보안위협 분석 정보제공 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr으로 기관명, 담당자, 연락처 등을 기재해 보내면 된다.
 
보고서 분석을 위한 악성링크 자체 수집은 빛스캔 PCDS (Pre-Crime Detect System)를 통해 수집되며 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com