12월 19일 대선을 앞둔 시점에서 지난 3일에서 9일까지 백신이 탐지 못하는 DDoS 공격 기능을 가진 악성파일들이 대규모로 유포된 정황이 발견됐다.
 
빛스캔(대표 문일준) 관계자는 “12월 1주차인 12월 3일~9일까지의 유포시도 관찰 결과 비정상적인 악성파일의 감염과 시도가 확대 되고 있고 최종 악성파일의 분석 결과 국내 주요 백신 우회 및 DDoS 공격 기능을 가진 악성파일들이 대규모로 유포된 정황이 발견됐다”며 “공동 대응을 하고자 제안을 한다”고 밝혔다.  
 
특히 “12.19일 대선을 앞둔 중차대한 시점에 DDoS 공격용 악성코드가 대량 유포된 것에 심각한 우려를 표하며 정보 공개를 통해 문제를 사전에 해결하고자 한다”고 밝혔다.

 
12월 1주차 발견된 악성코드 유형에서 보듯 봇에이전트와 다운로더의 발견이 증가한 상황이며 해당 에이전트와 다운로더들 중 다수가 DDoS 공격용 모듈을 갖추고 있는 것으로 확인된 상황이라 긴급한 대응이 요구되는 시점이다.
 
12월 1주차의 경우 12월 9일 일요일 유포 사례가 전주 대비 급증한 추세를 보이고 있어서 향후 상황도 예의 주시가 필요한 상황이다.

 
빛스캔 측은 “중복 포함해 최대 300여 곳 이상의 국내 주요 웹서비스를 통해서 대량 감염 시도 (방문자 10명중 6명 이상 감염 예상)가 발생했고 방문자가 극히 많은 커뮤니티를 통해서도 유포된 사례가 발견됐다”며 “대응을 위해 빛스캔에서 발견하고 보유하고 있는 대량 감염 샘플을 공유 함으로써 사건.사고 발생을 미연에 방지코자 제안을 하고자 한다. 현재 빛스캔에서 추적하고 있는 대규모 악성코드 유포 통로인 MalwareNet 다수를 이용한 유포가 감지 되어 심각성이 높으며 범위도 폭 넓을 것으로 판단된다”고 우려를 표했다.

 
또 “중복 감염을 시도 하는 다수의 동일 파일을 포함해 DDoS 공격 모듈이 확인된 악성코드는 총 12종이며 이중 국내 주요 백신 모두에서 탐지가 된 악성파일은 4종이며, 부분 탐지 2종이 해당된다”며 “그 외 6종류의 악성파일에 대해서는 VirusTotal에도 보고된 바 없는 악성파일 및 국내 주요 백신을 우회하고 있는 악성파일이다”라고 밝혔다.
 
이에 문일준 빛스캔 대표는 “국내의 민감한 상황에 비추어 볼 때 추가 사건·사고들이 언제든 발생 할 수 있으므로 사전 방지 차원에서 DDoS 공격용 모듈이 포함된 것으로 확인된 샘플에 한해 정보 제공을 하고자 한다”고 제안했다.
 
제공내용은 12월 1주차 발견된 주요 DDos 공격 기능 탑재된 최종 악성파일 샘플 12종이며 제공시기는 요청 시 검토 후 발송되며 제공대상은 안티바이러스 기업 및 자체 바이너리 분석과 대응이 가능한 기관에 한정한다.
 
제공 받기를 희망하는 기업 및 기관은 info@bitscan.co.kr, p4ssion@bitscan.co.kr 두 메일 주소로 기관, 기업명, 담당자 연락처 기재 후 메일로 요청하면 된다.
 
제공 정보에는 감염 이후 C&C 서버로 연결되는 정보도 일부 존재하며 해당 정보의 요청은 ISP 및 기업·기관에 한정한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com