8월 1주~3주까지 악성코드 유포가 지속적으로 감소하는 경향을 보이다 4주차부터 국내 웹사이트 유포 증가, 동일한 바이너리 다운로드, 파밍과 결합된 트로이목마 등 다양한 위협이 발견되고 있다.
 
지난 25일 빛스캔(문일준 대표)은 월간인터넷동향보고서 8월호를 발표했다. 보고서에 따르면, 8월 1주차 난독화를 활용한 CK VIP Exploit Kit을 이용하는 비율이 80%까지 증가했으며 지속적으로 특정 포트를 이용하는 공격과 일본, 미국의 도메인을 이용한 국내에서의 유포 현상이 나타났다.
 
8월 2주차는 상당히 낮은 악성코드 유포 움직임이 나타난 반면 포털사이트를 이용한 파밍 공격이 관찰되기도 했다. 3주차는 다수의 유포지를 활용해 최종적으로 다운로드 되는 악성코드가 동일한 형태로 확인됐으며 더불어 특정한 대상을 타깃으로 하는 워터링홀 공격도 관찰됐다.
 
4주차에는 바이너리와 연결된 C&C 서버를 확인한 결과, 감염된 사용자에 대한 관리가 이루어지는 정황과 함께 추가적인 바이너리에서는 파밍 악성코드와 함께 사용자 PC를 원격에서 제어하는 모습도 관찰됐다. 또한 금융감독원을 사칭하는 플로팅 배너 형태의 파망사이트가 지속적으로 나타났으며 네이버, 다음 등 국내 대표 포털사이트까지 활용되는 움직임이 포착됐다.
 
악성코드 은닉사이트 추이를 보면, 1만2천533건 탐지됐으며 7월 2만8천여건 대비 56% 감소한 수치였고 신규 사이트도 365건으로 전월 760건에 비해 52% 감소한 것으로 조사됐다.
 
또한 주요 악성코드 유포 사이트로는 총 199건이 집계됐으며 매주 평균 약 50건 정도 발생했다. 이 또한 7월 347건에 비해 40%이상 감소한 수치다.

 
주요 감염 취약점에 대한 분석도 나왔다. CVE-2013-2423, CVE-2012-5076, CVE-2012-4792, CVE-2013-1347 등이 사용된 악성코드가 발견됐다. 특히 8월 2주차에는 공다팩과 CK VIP 취약점이 골고루 유포됐으며 3주차부터는 공다팩의 이용이 활발해지면서 다시 해당 취약점에 관한 수치가 증가했다.
 
한편 8월에 발견된 악성코드 신규 유포지는 365개이며 보고서에는 그 중 약 30개가 요약정리되어 있다.
 
멀티스테이지 공격 분석도 포함됐다. 멀티스테이지 형태는 악성스크립트 안에 악성스크립트가 삽입 되어 있는 형태를 발견한 후 붙여진 이름으로 공격자가 보다 효율적인 공격을 위해 활용하고 있고 실제 감염율도 높은 것으로 설명했다. 해외에서 이런 형태 공격이 발견된 후 얼마 지나지 않아 국내에서도 이와 같은 유사 사례가 크게 증가하고 있다.
 
빛스캔 측은 “공다와 CK VIP가 결합된 멀티스테이지가 출현했으며 이들은 각각 8개와 4개의 취약점을 가지고 있다. 특히 국내에서 발견된 형태는 다단계유포망과 결합되어 더욱 위험한 상황으로 다수의 경유지를 거쳐 나타나기 때문에 파악하기 힘든 상황이다. 또한 1차 공격이 막히면 2차 공격으로 이어지기 때문에 공격자는 멀티스테이지를 이용한 공격을 더욱 활발히 전개하고 있다”고 말했다.
 
또한 “향후 공격자는 다양한 방법을 통해 악성링크를 유포할 가능성이 다분하며 악성링크를 통해 다운로드 되는 파밍 악성코드도 다양한 변화를 통해 사용자를 위협할 것”이라며 “지속적인 다양한 국가 도메인을 이용한 악성링크 사이트를 국내 사이트의 유입과 함께 차단이 어려운 국내 IP를 이용한 유포가 지속적으로 이루어질 전망”이라고 밝혔다.
 
보다 자세한 내용은 데일리시큐 자료실을 통해 월간보고서를 다운로드할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com