“6.25 사이버전 이후 보안 관련 기관과 기업의 집중적 모니터링 및 대응으로 인해 공격이 다소 주춤할 것으로 예상된다. 또한 파밍에 대한 새로운 공격이 예상되며 이에 대한 대응이 기존과 동일한 형태로 유지되고 있어 이용자의 피해가 증가할 것으로 예상된다. 경유지를 대량으로 활용하는 다단게유포망에 대한 해결책이 없는 한 공격의 위험 수위는 지속될 전망이다.”
 
빛스캔(대표 문일준)이 6월 인터넷 동향 월간 보고서를 24일 공개했다. 보고서에 따르면 “6월 1주에는 Cool Exploit Kit에서 변형된 Red Exploit Kit이 등장해 국내외에서 활발한 활동을 보였다. 2주차에는 5~6개의 맬웨어넷을 이용해 80여 곳의 도메인에서 유포가 발생했다”며 “하지만 3주차 6차에 걸친 정보공유를 통해 서버를 차단한 결과 신규 악성링크가 감소한 동시에 파급력도 함께 줄어들었으나 4주차에 다시 맬웨어넷의 활동 증가로 적게는 50여 곳을 통해 악성링크가 확산되는 현상이 관찰됐다”고 밝혔다.
 
또한 금융동향과 관련해서는 “5월 4주차 네이버 사이트 이용시 금감원 관련 광고 페이지가 나타나는 새로운 파밍 공격이 나타났다고 소개된 후 백신, 파밍캅이 hosts 탐지가 강화되자 6월 2주차 탐지 우회를 위해 추가 바이너리를 다운로드 후 실행해 지속적으로 hosts를 생성해 백신, 파밍캅 탐지 우회하는 새로운 파밍 방법이 출현하고 있는 것이 관찰됐다”며 “금융정보 탈취를 위한 공격은 지속적으로 갱신되고 있으며 정밀성을 높인 공격들이 계속 되고 있어 향후에도 금융 관련 피해는 급증할 것”이라고 예상했다.

 
한편 6월에는 악성코드 은닉사이트는 1만7천950건 탐지됐으며 이는 전월대비 215% 증가한 수치다. 그리고 신규 사이트는 1천620건으로 전월대비 223% 급증한 것으로 나타났다.

 
6월 신규 악성링크는 1천620건이었으며 이중 한국에 직접적인 영향을 미친 국내 경유지를 활용하는 유포 사이트는 707건이었다. 전월대비 245% 증가한 수치다.
 
또 신규 유포 사이트의 증가 이유는 4~5개의 도메인으로 최대 80여 곳에서 맬웨어넷 유포와 동시에 영향력있는 사이트에 지속적으로 악성코드를 삽입하기 때문에 수치가 늘어났다고 밝히고 있다.
 
6월 주요 감염 취약점으로는 CVE-2012-4969가 새롭게 등장했으며 기존에 활발했던 CK VIP 또한 다시 등장했다. 국내에서는 현재 공다팩을 이용한 취약점이 80% 이상을 차지하며 여전히 높은 점유율을 보이고 있다고 전했다.
 
특히 6월에 수집된 악성크도 샘플을 분석한 결과 신규로 공다팩의 비중이 높아졌음을 확인할 수 있었고 특히 3주차에는 공다팩 비율이 98.6%로 비정상적 유포가 이루어졌다고 한다.
 
한편 빛스캔 측은 6.25 사이버전이 발생하기 전 5월 4주부터 비정상적 움직임이 파악됐고 인터넷 위협수준을 경고로 상향해 7차에 걸쳐 정보공유를 했다고 밝혔다.
 
전상훈 빛스캔 이사는 “지속적인 유포지와 경유지 침해사고가 발생할 경우에는 웹사이트의 취약점을 분석해 해결해야 한다. 또한 웹사이트 내에 웹쉘, 루트킷과 같이 악성코드가 숨겨져 있을 수 있기 때문에 추가적인 보안 대책이 필요하다”고 강조하고 “웹 취약점을 해결하기 위해서는 홈페이지의 개발시점부터 유지보수가지 개발자가 보안코딩을 준수해야 한다”고 조언했다.
 
보다 자세한 사항은 데일리시큐 자료실에서 빛스캔 인터넷 위협동향 월간보고서 6월호를 다운로드해 확인할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com