빛스캔 11월 2주차 한국 인터넷 위협 보고서에 따르면, 이전과 다르게 금요일보다 토·일요일에 집중 공격이 이루어졌다고 한다. 또 공격자들은 악성코드를 유포한 후 비정기적이며 수시로 계속해서 변경하고 있다. 자신들의 다단계유포망(MalwareNet)이 탐지되고 있다는 것을 알아 챈 것으로 빛스캔은 보고 있다. 즉 탐지되고 있다는 것을 느끼기에 악성링크를 토·일요일에 집중적으로 변경했다는 것으로 분석하고 있다.  

 
11월 2주차에는 공격자들이 지난해 3월부터 2012년 11월 1주차까지 1년 8개월 동안 사용했던 /pic/img.js라는 구조를 /home/psd.js라는 구조로 변경했다. 빛스캔에서 매주 공격에 사용되었던 악성링크 주소를 공개하고 있어 자신들의 공격이 탐지되고 있다는 것을 느끼고 변경한 것으로 보인다.  
 
전상훈 빛스캔 기술이사는 “img.js 페이지에는 중복감염을 방지하며 각 취약점별 세부 분기하는 페이지와 통계 페이지가 삽입되어 있다. psd.js 또한 마찬가지이며 이름만 변경했다”며 “일부 웹방화벽에서 ‘img.js’를 탐지해 차단하기 때문으로 판단된다”고 설명했다.  
 
또 “악성링크 디렉토리명과 파일명이 바뀌었고 악성코드를 업로드 시켜놓는 주 Hosting 업체까지 변경한 것을 알 수 있다. 이는 빛스캔에서 매주 발행하는 구독 서비스를 활용해 각 기관 및 기업에서 해당 Hosting 업체 IP를 모두 접속 차단했고 이에 공격자들은 악성코드 감염 수치가 급감하는 것을 파악하고 주 Hosting 업체를 변경한 것으로 판단된다”고 밝혔다.  
 
한편 “Hosting 업체를 바꾼 것으로도 모자라 국내 웹 사이트를 해킹하고 그 곳에서 악성코드를 유포하고 있다. 이렇게 할 경우 국내 정상 사이트 링크로 오인될 확률이 높다”며 “또한 신뢰받는 사이트일 경우 화이트리스트로 등재되어 탐지 및 보호 도구들을 우회하는 사례가 많다. 이렇게 공격자들은 점점 지능적으로 변하고 있다. 이에 맞추어 국내에서는 어떠한 실질적인 대책이 있는지 뒤 돌아봐야 할 때”라고 지적했다.
 
그리고 “중국에서 작성된 것으로 알려진 일명 공다팩(GongDa Pack)을 이용한 악성코드 유포가 꾸준히 사용되고 있다”고 한다. PCDS 통계에 따르면, 해당 웹 익스플로잇 툴킷은 2012년 초부터 사용되고 있으며, 2012년 11월 현재까지 전체 공격의 대부분을 차지할 정도로 그 활용이 지속적으로 증가하고 있다. 일반적으로 웹 익스플로잇 툴킷은 해당 툴킷의 내부에서 사용되는 특정 변수명에 의해 그 이름이 명명되는데, 공다팩은 중국어로 공격을 의미하는 ‘gong da’변수가 툴킷 내부에 존재하는 특징을 지닌다.
 
빛스캔 측은 “향후 공다팩의 활용은 꾸준히 지속될 것으로 예상되므로, 웹방화벽(WAF, Web Application Fireall) 등에서 해당 문자열이 포함된 페이지를 필터링하는 등의 조치가 필요해 보인다”고 조언했다.
 
11월 2주차 악성코드 공격의 특징을 정리하면 다음과 같다.
•제로보드 4.X 악성코드 유포를 위한 공격 다수 발생
•9월 4주차, 10월 2주차, 11월 1주차 이후 또다시 DDoS 공격 수행 악성코드 유포
•공격자들의 악성링크 주소 패턴 변경(/pic/img.js -> /home/psd.js, 빛스캔에서 매주 발행되는 구독 서비스를 통해 악성코드 유포 대역 IP 차단 결과)
•SNS 마케팅으로 인한 악성코드 파급력 확대
•웹방화벽에서 JXXX 0.44 VIP, Ysxx 0.11  문자열 포함된 페이지 필터링 필요
•8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)
•APT 형태의 악성코드 유포 계속-권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속
•MalwareNet(다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 - 목록은 정상 서비스 구독 고객에게 제공됨
•3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견
•최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
•백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
•게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
•백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨
         
◇MalwareNet 파급력
맬웨어넷의 파급력은 여전하다. 현재 다단계유포망(MalwareNet)인 xxxxxx.co.kr/com.js에 들어있는 곳은 단 2곳이지만 이곳도 또 다른 다단계유포망(MalwareNet)이다. 한번 악성코드를 변경하게 되면 37+36 인 73곳의 웹사이트에서 일제히 변경된다. 그만큼 공격자들은 손쉽게 공격을 하고 있다.
 
빛스캔 측은 “현재 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있다”며 “기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관과 기업 내부적으로 강력한 권고가 있어야 한다. 특히 Oracle Java 취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있다”고 권고했다.
 
또 전상훈 이사는 “지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생하고 있는 현실이다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위”라며 “사전에 얼마나 대응을 하느냐가 가장 중요하며 빠른 정보를 확보해 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구된다”고 강조했다.  
 
빛스캔 위협보고서 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr으로 하면 된다. 시범은 기관, 기업별 1회에 한정하고 있다.
 
보고서 작성을 위한 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com