2020-05-31 09:50 (일)
장비 1대에 차단된 제로데이 공격만 2만건 이상!
상태바
장비 1대에 차단된 제로데이 공격만 2만건 이상!
  • 길민권
  • 승인 2013.01.20 14:52
이 기사를 공유합니다

트라이큐브랩, 10G 장비 한곳에서 3일간 악성코드 차단 내역 공개
IE와 Java 제로데이 공격이 1월 11일부터 국내에 활발하게 발생되고 있고 현재 공격의 심각성이 높아지고 있다. 이에 빛스캔(대표 문일준) 악성코드 탐지와 연동해 전용 차단장비를 개발한 트라이큐브랩(대표 이석현 www.cubeisac.com)은 차단 내역 일부를 분석한 결과를 공개하고 국내 제로데이 공격의 심각성을 알리는 자료를 배포했다.
 
트라이큐브랩 자료에 따르면, 1월 11일 이후 발생된 IE와 Java의 제로데이 공격이 실행되는 악성링크들은 IE가 6종류, Java가 9종류로 발생된 것으로 빛스캔에 의해 확인된 바 있다. IE 제로데이인 CVE 2012-4792의 경우 별도 분기를 통해 공격이 발생되는 것으로 분석됐으며, Java제로데이의 경우 최소 7개 가량의 취약성을 이용하는 공격세트에 탑재된 것으로 확인 되었다. 발견된 공격세트의 구조를 상세히 살펴 보면 다음과 같다.

 
Java 및 IE 제로데이에 대해 트라이큐브랩 측은 “악성링크를 분석해 공격구조를 파악하고 즉시 네트워크 수준에서 차단을 할 수 있도록 적용을 했다”며 “국내 IT 기업에 설치되어 운영 중인 10G 장비 한곳에서의 차단 내역을 1월 14일 확인했다. 차단 항목은 제로데이 공격이 발견된 악성링크만을 추출해 분석했으며 관찰기간은 1월 11일~ 14일까지의 차단 내역이다”라고 설명했다.  
 
그 결과 차단내역에서 단 3일간 제로데이 공격 관련된 차단 횟수는 2만1,000회 이상이 차단되었음을 확인 할 수 있었다. 제로데이 공격코드가 모든 방문자를 대상으로 실행되었던 웹서비스들의 업종 분류를 보면 다음과 같다.

 
가장 큰 범주로는 일상적인 생활에 해당하는 쇼핑 관련된 웹서비스와 언론사의 웹서비스들이 공격을 당해 악성코드를 직접 감염시키는 매개체로 활용된 것을 확인할 수 있다.
 
트라이큐브랩 관계자는 “현재 제로데이 공격은 계속해서 발생되고 있으며 한 기업의 네트워크 망 하나에서만도 단 3일간 20,000여 회 이상의 공격차단이 발생되는 상황”이라며 “전체 악성링크 차단 내역은 실제로 더 많은 상황이며 이번 공개 데이터는 제로데이 공격에 관련된 내용만을 정리한 자료다”라고 밝혔다.
 
패치가 발표되지 않았거나 패치에 대한 검증이 완료되지 않은 상태에서 발생되는 공격은 지금까지 막을 수 있는 방안이 많지 않았다. 제로데이 탐지를 전문으로 하는 전용 솔루션을 사용하거나 백신의 업데이트를 통해서만 탐지하는 것이 전부였다. 그러나 대규모로 유포가 되고 공격이 발생되는 상황에서는 대응을 하기가 매우 어려운 상황이 될 수밖에 없다. 이번 IE와 Java의 제로데이 공격에 대한 트라이큐브랩 큐브디펜스 장비 차단 결과를 살펴 보면 국내의 심각한 감염 실태를 확인할 수 있다.
 
이석현 트라이큐브랩 대표는 “지금까지 제로데이 공격에 대한 대응방안은 소규모 발생시에만 대응 할 수 있는 방안들이 대부분이었다. 지능형 지속 공격 (APT)에서나 사용되는 은밀한 제로데이 공격들이 불특정 다수를 대상으로 대규모로 발생된다면, 지금까지의 대응방안은 무력할 수 밖에 없다”며 “불특정 다수를 대상으로 한 공격을 막기 위한 핵심은 사전에 예방하는 것이 최선”이라고 강조했다.  
 
또 이 대표는 “단 3일 동안에 2만여 건 이상의 제로데이 공격이 전용장비 하나에서 차단 되었다는 점은 현재 인터넷 사용자 대다수를 대상으로 한 공격이 매우 광범위하게 발생 되고 있음을 보여준다”며 “지금 이 순간에도 한국의 웹서핑은 매우 위험한 상황에 놓여 있다고 볼 수 있다”고 우려를 표했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com