빛스캔(대표 문일준)은 11월 2주차 주간동향 보고서를 통해 이같이 밝히고, 특히 이번주에는 악성링크에 대한 초기 정보 수집, 분석, 대응에 혼란을 주기 위한 시간차 공격이 일부 영향력 있는 사이트에서 이뤄졌으며 멀티스테이지를 이용한 악성링크의 유포 정황도 포착했다고 덧붙였다.
시간차 공격이란 배구 경기에서 널리 쓰이는 용어로, 공격자가 수비자를 혼란케 하기 위해 공격 시간이나 지점에 변화를 줘 적절히 방어할 수 없게 하는 공격이다. 이번주에는 공격자들이 잦은 주기로 악성링크를 변경했으며, 이와 관련된 악성파일과 봇넷에 연결하는 C&C 정보까지도 바꾸는 모습을 보이고 있다.
그러나 실제 대응하는 입장에서는 이러한 정보의 첩보를 통한 수집과 분석 및 대응이 공격자의 민첩함을 따라가기에는 한계가 있을 수 밖에 없으며, 악성링크 경유지, 악성파일 자체에 대한 백신 등의 대응에는 ‘시간차’가 발생할 수 밖에 없는 것.
또한 보고서에 따르면, 악성링크 중 일부는 국내 IP를 이용했으며 탐지 회피를 위해 지속적으로 바이너리, C&C 서버를 변경하는 모습도 관찰됐다. 지난주부터 나타난 레드킷의 활동은 이번주에도 활발했으며, 추가적으로 다양한 국가의 서버로 연결하는 모습도 함께 나타났다.
빛스캔은 악성링크를 이용한 지속적인 시간차 공격 및 영향력 있는 사이트에서의 유포와 레드킷의 지속적인 활동 등 전체적인 위협의 증가로 인해 인터넷 위협 수준을 ‘주의’ 단계로 상향 조정했다
시간대별 통계를 살펴보면, 월요일부터 토요일까지 전 시간에 걸쳐 유포가 이뤄졌으며, 특히 월요일부터 목요일까지 악성링크의 활동이 가장 활발하게 이뤄진 것으로 분석됐다.
10월 1주차부터 11월 2주차까지의 최근 6주 동안 주요 국가별 경유지 도메인 통계를 집계한 결과, 누적수는 한국이 201건(62.0%), 미국이 73건(22.5%), 폴란드가 15건(4.6%), 독일이 7건(2.2%), 이탈리아 4건(1.2%), 베트남이 4건(1.2%), 네덜란드가 4건(1.2%), 일본이 3건(0.9%), 싱가포르가 3건(0.9%), 러시아가 2건(0.6%), 프랑스가 2건(0.6%), 헝가리가 2건(0.6%), 홍콩이 2건(0.6%), 영국이 1건(0.3%), 오스트레일리아가 1건(0.3%) 등으로 나타났다.
이번주는 한국이 58건(57.4%), 미국이 23건(22.8%), 폴란드가 5건(5.0%), 독일이 3건(3.0%), 이탈리아가 2건(2.0%), 베트남이 2건(2.0%), 네덜란드가 2건(2.0%), 일본이 1건(1.0%), 싱가포르가 1건(1.0%), 러시아가 1건(1.0%), 프랑스가 1건(1.0%), 헝가리가 1건(1.0%), 홍콩이 1건(1.0%)으로 집계됐다.
데일리시큐 호애진 기자 ajho@dailysecu.com
