지난 제18대 대통령 선거를 앞 둔 12월 3일~9일 사이 국내 웹사이트를 통해 유포되는 악성코드를 분석한 결과 DDoS 공격 기능을 가진 악성코드들이 대량으로 유포된 정황이 빛스캔(대표 문일준)을 통해 파악됐다. 특히 최종 악성파일을 국내외 유명 백신을 대상으로 진단한 결과 대부분 진단하지 못하는 상황이었다.
 
이러한 긴급상황이 발생함에 따라 빛스캔 측은 DDoS 공격을 공동 대응하고자 안티바이러스 기업 및 보안 업체, 보안 유관 기관에 악성코드 샘플 제공을 제안했었다. 그 결과 60여종의 악성코드, 40여개의 주소 및 IP 목록을 기관과 기업에 제공해 공격을 사전에 차단하는 성과를 이루어냈다.

 
빛스캔 관계자는 “이번 정보공유를 통해 많은 기관과 기업에서 동시에 공동대응이 이루어지자 공격자들이 당혹스러워 하며 공격이 급격히 줄었다”고 밝혔다. 악성코드 및 관련 URL 정보를 제공한 이후 국내에서 유포되는 현황이 급격하게 줄어들었음을 아래 도표를 통해 알 수 있다.

 
또한 해당 기업 및 기관에 제공하기 전에 VirusTotal(다양한 백신 엔진을 구비하여 악성코드 샘플의 제출 여부, 탐지 여부를 종합적으로 알려주는 보안 서비스)에 검사한 결과 다음과 같이 신종 악성코드가 많았음을 알 수 있었다.

 
아래 화면은 미보고된 샘플을 관련 기관 및 기업에 제공한 이후에 VirusTotal에서 확인한 내역으로 국내 주요 제품 모두 정식 진단명을 가짐을 확인할 수 있다.

 
빛스캔 측은 “DDoS 공격이 효과적이기 위해서는 많은 수의 좀비 PC가 필요하다. 다수의 PC를 좀비화해서 금융 관련된 개인정보를 탈취하거나 DDoS와 같은 공격에 직접 이용하려는 것이 공격자들의 주된 목적”이라며 “현재 좀비 PC를 만드는 가장 쉬운 방법은 보안이 취약하고 방문자가 많은 웹서비스를 공격해 모든 웹사이트 접속자를 감염시키는 것으로, 현재 일상적인 활동은 대부분 인터넷과 연결되어 있어 잠재적으로 큰 문제를 내포하고 있다. 따라서 대규모 유포를 방지하기 위해서는 근본적인 웹 서비스의 문제점을 보완하고 대량 유포에 이용되는 악성링크들을 조기에 발견해 대응 할 수 있는 체제가 필요하다”고 강조했다.
 
더불어 “이번에 정보공유를 통해 20여 개 보안 기업 및 유관 기관, ISP 등에서 DDoS 공격 방어를 위해 공동 대응해 주어서 잘 마무리되었다”며 “아울러 빛스캔에서는 언제든지 문제가 심각하다고 판단 될 시에는 공동대응을 할 수 있도록 노력하겠다”고 밝혔다.
 
문일준 빛스캔 대표는 “이번 대선관련 공동대응에 사용되었던 정보들은 빛스캔의 PCDS에서 탐지 및 분석된 정보들”이라며 “이 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있다. 각 부분별로 발전적인 협력을 원하는 부분에 대해서는 메일(info@bitscan.co.kr)로 문의를 주시면 답변해 드리겠다”고 말했다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com