“한국 인터넷 환경은 전반적으로 위험 상태에 깊이 들어와 있는 상황이다. 그 결과는 금융망과 방송국이 직접 피해를 입은 3.20 대란과 청와대와 정부기관이 피해를 입은 6.25 테러로 결과가 나온바 있다. 한편 웹 서비스를 이용한 악성코드 유포는 현재도 심각한 상황으로 계속 되고 있다. 또한 2013년의 치명적인 사건들에도 불구하고 대응 방안들은 여전히 미진한 상황이라 2014년도 금융 관련 정보유출 피해뿐 아니라 대량의 좀비 PC를 이용한 공격과 사건들은 계속 될 것으로 예상이 된다.”
 
빛스캔(대표 문일준) 측은 2013년도 온라인 위협 연간 보고서를 발표하고 2013년 분석 내용과 올해 예측 상황을 발표했다.
 
특히 “2014년 4월에 예정된 XP에 대한 지원 중단은 새로운 제로데이(0-day) 공격을 촉발할 것으로 보이며, 적극적인 대응과 감염 예방 노력이 선행되지 않는다면 우리는 2013년보다 더 충격적인 사건들을 직면 할 수밖에 없을 것으로 예상된다”고 경고했다.

 
빛스캔 측의 지난해 월별 동향을 정리해 보면 다음과 같다.
 
◇3월=3.20일 사이버 테러가 일어나기 직전 악성코드의 활동이 급격히 늘어난 정황이 포착되었으며 즉시 수상한 움직임에 대한 경고하였다. 하지만, 3.20 사이버 테러는 방송사를 비롯한 금융권에 장애를 일으키며 상당한 혼란을 야기하였다. 또한 사이버대란을 이용한 파밍 사이트가 등장하였으며 사용자의 금융정보 유출 후 사용자의 PC를 파괴하는 모습까지 포착 되었다. 당사는 3월 20일 이후 26일까지 긴급 대응하여 피해 확산을 방지하는데 노력하였다.
 
◇4월=특정 IP대역에 사전 준비작업(악성파일 업로드)을 해두고, IP만 수시로 변경해 탐지를 회피하고 있는 현상이 관찰이 되었으며 공격자들이 새로운 감염통로 개척하는 등 공격 수준이 3.20 사이버테러 이전으로 정상화된 것으로 추정되며 최종 파일로는 루트킷이 발견되었으며 국내에서는 루트킷과 파밍과 함께 공다팩, 레드킷, CK VIP가 관찰되고 있으며 감염시키기 위해 MalwareNet을 활용하여 감염시켰다. 또한 특정 ISP(홍콩)의 C 클래스를 통해 악성코드 유포뿐만 아니라 악성파일 자체를 업로드하여 전통적인 보안 솔루션을 손쉽게 우회하고 있어 이에 대한 대비가 필요하다.
 
◇5월=5월 1주부터 5월 2주차 까지 홍콩 소재 C 클래스 대역 최소 10개에서 13개까지 꾸준하게 유포를 하고 있다. 지난 3.20 사이버테러 직전에 발생했던 징후(방송사 이름을 가진 악성파일)가 5월 3주차에 나타나기 시작했다. 특히, 감염 이후 C&C 및 접속자 통계 사이트로 연결(감염자 통계를 확인 목적)에 이용된 도메인이 kbsxxx, imbcxxx로 활용된 정황이 발견되었으며 3.20 사이버 테러 직전의 상황과 유사하다고 판단되어 경보단계를 “주의”로 상향하였다. 5월 4주에 매우 비정상적인 유포 움직임이 관찰되어 관찰경보가 "주의" 에서 "경고"로 상향하였다. 그 이유는 전주에 비해 악성링크의 수치 및 영향도가 급격하게 증가한 것이 관찰되었으며 일시에 3~4개의 MalwareNet을 생성하고 총 80곳 이상을 경유지 활용하였으며 백신제품들에 탐지되지 않는 악성코드를 동시에 감염 시도하는 정황이 관찰되었기 때문이다.
 
◇6월=6월 1주 Cool Exploit Kit에서 변형이 된 Red Exploit Kit이 등장하여 국내외에 서 활발한 활동을 보였다. 6월 2주에는 5~6개의 MalwareNet을 이용하여 80여곳 도메인에서 유포가 발생하였다. 하지만, 6월 3주차에 총 6번에 걸친 정보 공유를 통해 대응한 결과 신규 악성링크가 감소한 동시에 파급력도 함께 감소했다. 하지만, 6월 4주차에 다시 MalwareNet의 활동의 증가로 적게는 50여곳, 최대 200여곳에 파급되는 효과를 가져왔다. 
 
◇7월=6월 25일, 사이버테러가 발생 후 신규 악성링크의 발생은 현저히 줄어들었다. 하지만, 영향받는 웹 사이트의 복구가 늦어지며 주말에 삽입되었던 악성링크가 평일까지 유지되는 모습을 관찰하였다. 또한, 7월에 활발했던 공다팩의 비율이 점점 감소하여 7월 4주차에는 CK VIP를 이용한 공격이 다수 발생하였다. 또한, tiancai.html, shifu.html, xiangnian.html를 세트로 한 공격이 일본 도메인을 이용하여 유포하는 모습도 발견하였다. 그리고 7월 3주차에 치음 확인되었던 HTTPS(특정 포트)를 이용한공격이 7월 5주 HTTP URL과 함께 결합되어 공격하는 새로운 형태가 나타났다.
 
◇8월=8월 1주차 난독화를 활용하는 CK VIP Exploit Kit을 이용하는 비율이 80%까지 증가하였으며 지속적으로 특정 포트를 이용하는 공격, 일본, 미국의 도메인을 이용한 국내에서의 유포 현상이 나타났다. 8월 2주차 전체 발견된 악성링크는 당사가 관찰하였던 기간 중 최고로 낮은 움직임을 보였으며 포털사이트를 이용한 파밍이 국내 포탈까지 활용된 정황이 관찰되었다. 8월 3주차에는 다수의 유포지를 활용하여 최종 적으로 다운로드되는 악성코드가 동일한 형태로 확인되었으며, 더불어 특정한 대상을 타깃으로 하는 워터링홀 공격도 함께 관찰되었다. 8월 4주차에는 바이너리와 연결된 C&C 서버를 확인한 결과, 감염된 사용자에 대한 관리가 이루어지는 정황과 함께 추가적인 바이너리에서는 파밍 악성코드와 함께 사용자 PC를 원격에서 제어하는 모습도 함께 관찰되었다
 
◇9월=9월 1주차부터 2주차까지는 8월부터 나타나기 시작한, 최대 40개 웹사이트를 보유한 MalwareNet을 활용하여 최종적으로 하나의 악성코드로 연결되는 공격 방식이 더욱 활발히 나타났으며 이들의 목적은 사용자의 금융계좌를 노린 파밍 악성코드로 확인되었다. 또한, 9월 3주부터 4주차까지는 멀티스테이지가 MalwareNet 과 결합하여 다수 유포되는 현상이 나타났으며 공격자는 국내 IP 차단이 어려운 점을 악용하여 직접적인 유포 경로로 국내 사이트를 이용하고, C&C 서버도 국내 서버를 활용하는 정황도 발견되었으며, 추가 다운로드 된 파일은 파밍의 기능과 함께 감염자 정보를 국내 C&C 서버로 전송하는 역할도 관찰되었다. 9월 5주차에는 전체 발견된 악성링크는 9월 관찰기간 중 최저치를 기록하였다. 더불어, 9/25(수)에 “긴급 의심 정보 공유” 이후 악성링크의 활동은 나타나지 않는 모습을 보였다.
 
◇10월=10월 1주부터 10월 3주까지 전체 발견된 악성링크와 신규 악성링크가 감소세와 증가를 반복하였지만, 미치는 영향은 거의 없는 것으로 관찰되었다. 하지만 10월 2주부터 일부 P2P 사이트에서 악성링크의 유포를 시작으로 10월 3주차에는 그동안 해외에서 관찰 되었던 IE 제로데이(CVE-2013-3897)가 Caihong Exploit Kit에 탑재되어 불특정 다수에게 유포되고 있는 정황을 관찰되었다. 하지만, 미치는 영향은 그리 크지 않은 것으로 분석되었다. 10월 4주차에는 그동안 나타나지 않았던 주요 사이트를 통한 유포와 공다팩이 9개의 취약점을 이용한 유포와 함께 레드킷까지 등장하여 많은 영향을 주었다.
 
◇11월=전체적으로 위협수준이 크게 증가한 가운데, IE 제로데이를 이용한 공격이 감소한 반면, 공다팩의 사용률은 증가하였다. 특히, 악성링크에 대한 초기 정보 수집을 차단하기 위해 시간차 공격이 11월 2주부터 지속적으로 나타났으며 국내 서버를 이용한 공격도 일부 나타났다. 또한, 11월 3주부터는 사용자의 방문이 많은 파일 공유(P2P), 언론사이트를 중점으로 악성링크를 직접 유포하는 모습이 나타났으며 그 결과 파급력은 상당히 높게 나온 것으로 집계되었으며 11월 4주차에는 임계치를 넘어서는 위협적인 모습까지 보였다.
 
◇12월=12월 악성링크, 바이너리, C&C 서버, IP 차단 및 탐지를 회피하기 위한 잦은 변화의 움직임이 지속된 가운데 언론사, 파일공유(P2P), 광고링크 사이트와 같이 영향력이 높은 사이트를 통한 악성코드 유포가 이루어졌으며 MalwareNet 또한 활발한 활동이 나타났다. 유포된 악성링크에서는 CVE-2013-3897이 단독으로 쓰인 악성코드도 등장하였다. 또한, 꾸준히 나타나고 있는 레드킷의 일부 바이너리 링크는 차단 회피를 위해 SkyDrive를 이용하는 정황도 포착되었다.
 
악성코드 자동화 공격 도구에 대해서는 지금까지 국내에서는 다양한 자동 공격화 도구가 출현하였으며, 이러한 공격 도구들은 버전 업데이트를 통해 지속적으로 진화하고 있으며, 난독화를 통해 탐지 및 분석을 위한 디코딩이 어렵게 하고 있는 상황으로, 국내에서 발견되고 있는 자동 공격화 도구는 공다팩(Gondad)과 CK vip에서 변형된 카이홍(Caihong)이 지속적으로 탐지되고 있으며 그 밖에 레드킷(Redkit), 블랙홀(Blockhole) 공격킷도 활동하고 있다고 밝혔다.
 
또 금융 보안위협에 대해서는 지난해 온라인 게임 계정탈취가 주요 이슈였다면 올해는 사용자들의 금융계좌를 노린 파밍 악성코드가 나타났다. 1월부터 시작 된 파밍은 올해가 끝나기 전까지 지속적이고 빠른 변경을 통해 사용자를 속이기 위해 노력하는 모습을 보였다고 분석했다.
 
한편 향후 전망에 대해 빛스캔 측은 “웹, 이메일, USB 또는 사람으로 한정된 위협요소에 대해 우리는 관리 정책과 보안도구들을 이용해서 일정 수준의 보호를 받을 수 있다. 그러나 아직 웹을 통한 대량감염에 대해서는 뚜렷한 관찰도 부족하고 즉시 대응 할 수 있는 체계도 미비함에 따라 2013년에 이어 2014년도 웹을 통한 대량 감염과 공격은 일상적으로 발생될 것으로 예상된다”고 분석했다. 
 
개선 방안에 대해서는 “지속적인 유포지 및 경유지 침해 사고가 발생할 경우에는 웹사이트의 취약점을 분석하여 해결해야 한다. 또한 웹사이트 내에 웹쉘, 루트킷과 같이 악성코드가 숨겨져 있을 수 있으므로, 추가적인 보안 대책이 필요하다”며 “웹 취약점을 해결하기 위해서는 홈페이지의 개발시점부터 유지보수 때까지 개발자가 보안 코딩을 준수해야 한다”고 조언했다.
 
보다 자세한 연간보고서 내용은 데일리시큐 자료실에서 다운로드 가능하다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com