지난해 12월 12일부터 12월 19일까지 7일간에 걸쳐서 빛스캔(대표 문일준)에서는 DDoS 공격 기능을 가진 Agent들의 다수 유포와 관련하여 국내 20여 개의 백신 및 ISP, 유관기관에 정보를 제공한 바 있다. 총 정보 제공 범위는 총 4회에 걸쳐 60여종의 최종 악성파일과 40여 개의 C&C로 추정되는 IP와 도메인을 전달한 바가 있다. 60여종의 악성파일 중 국내에서 사용중인 주요 백신이 모두 탐지하는 악성파일은 10여 종이였으며 나머지 50여 종이 추가 대응이 필요한 상황의 악성파일로 드러났다.  
 
빛스캔 측은 정보제공 이후의 결과에 대해 다음과 같이 브리핑했다.

 
한국 인터넷을 대상으로 한 공격이 대폭 감소하는 것이 확인되었으며, C&C 및 악성링크 정보 제공으로 인해 공격 강도가 낮아지는 것을 직접 관찰 되었다.

 
이 샘플은 미 보고된 샘플이며, 정보제공 이후 국내 백신은 정식 진단명을 가지는 상태로 정확한 샘플에 대한 진단을 하는 상태를 볼 수 있다.
 
빛스캔 측은 “대량 유포된 샘플들에 대한 진단과 감염된 악성코드들이 연결되는 사이트들 정보들도 대부분 해외 IP이다 보니 적극적인 차단들이 진행 되어 추가적인 악성행위의 예방도 충분하였으리라 판단된다”며 “단기간의 대응을 통해 한국 인터넷을 위협하는 실체를 분명히 감소시킨 것을 이후의 통계에서도 직접 확인 할 수 있었다”고 설명했다.
 
하지만 문제는 그 이후에 다시 발생하고 있다고 덧붙였다.
 
◇성공적인 공동 대응했지만 후폭풍도 심각
적극적인 차단과 대응의 노력은 공격자들의 공격전략의 변화를 초래했으며 그 직접적인 영향을 받고 있는 상태를 확인 할 수 있다는 것이다.

 
대선 공동 대응 이전의 통계와 이후 한달 간 통계를 보면 높아진 비율을 직접 확인 할 수 있다.
 
공격 기법의 변화를 살펴보면 두 가지 특징을 볼 수 있다.

 
빛스캔 측은 “국내 주요 서비스들에 대한 공격과 악성코드 유포 이슈가 공격자들의 전략 변화에 따라 급증함에 따라 매주마다 엄청난 수량의 이슈가 생산되고 있는 상황”이라며 “공동대응의 후폭풍이라 할 수 있을 것”이라고 말했다.
 
이번 DDoS용 악성코드 대응 이후, 공격자들이 노출을 감내하면서도 국내 인터넷 서비스를 직접적인 악성링크 및 악성코드 감염의 중개지로 활용하는 상황이란 분석이 나오고 있다.
 
빛스캔 관계자는 “앞으로도 차단과 탐지가 어려울 수 밖에 없는 국내 도메인을 이용한 악성코드 유포 이슈가 계속 증가할 것으로 예상 된다”며 “근본적인 서비스 체계의 안정성을 심각하게 돌아보고 상시적으로 문제를 검토하고 일년에 한번 받아야 하는 정기진단이 아닌 손 쉬운 자동화 도구를 이용한 공격 대상이 될 수 있는 URL 인자에 대한 유효성 체크 등은 상시적으로 운영 해야 할 것이다. 특히 변화가 많은 웹 서비스들은 매일 할 필요성이 있다”고 밝혔다.
 
또한 “취약한 웹서비스들을 통해 모든 방문자에게 대량으로 유포되는 악성코드를 사전에 탐지하고 제거하기 위한 협력과 노력을 통해 공격의 효과를 반감 시킬 수 있도록 해야만 할 것”이라며 “최근 금융권에서의 많은 피싱과 공격 사례들도 웹을 통해 대량으로 감염되고 유포된 악성코드들에 의한 것이므로 적극적인 노력과 대응이 필요하다”고 강조했다.
 
한편 “1월 2주차 관찰 결과를 보면, 국내 도메인을 이용한 공격은 계속 되고 있으며, 이번에 패치가 발표되지 않은 IE 제로데이인 2012-4792는 조만간 대량 공격에 이용될 것”이라며 “현재 테스트는 완료된 것으로 보인다. 적극적인 대응이 필요한 시점이다”라고 덧붙였다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com