2월 3주부터 시작된 신규 악성링크의 비정상적 움직임은 2월 4주까지 이어지는 양상이다. 특히 쇼핑몰, 복지포털, 파일공유 등 여러 사이트를 통해 유포가 이루어졌으며 보안매체에서까지 악성코드를 유포하는 등 파급력이 크게 증가하는 모습을 보였다. 악성코드 분석 결과 대부분 파밍 종류의 악성코드로 확인됐다.

 
빛스캔(대표 문일준) 측은 2월 4주차 인터넷 위협동향을 통해 “파밍 악성코드 내부 파밍 리스트에서는 지난주 택배회사에 이어 이번주네는 증권사까지 확대하려는 사전 징후가 포착됐다. 악성코드 유포 당시 국내 백신만을 우회하고 있는 전형적인 모습도 확인됐다”며 “시간이 지난 현재에도 대응이 이루어지지 않고 있는 부분도 일부 존재하고 있어 2차적인 추가 피해가 우려되는 상황”이라고 우려했다.
 
이 업체는 이번주 증가한 위협과 영향력있는 사이트를 통한 악성코드 유포와 함께 기존 악성링크 재활용과, 신규 악성링크를 통한 비정상적인 움직임이 포착되어 인터넷 위협 수준을 23일부로 ‘경고’단계로 상향조정한다고 밝혔다.
 
특히 택배 전문업체 옐로우캡 택배를 통해 악성링크가 삽입되어 유포되고 있는 정황이 2월 23일 확인됐다. 이 사이트와 제휴를 맺은 다양한 쇼핑몰과 여러 사이트들에서 택배 이용자들에게 악성코드 감염 위협이 증가했다. 특히 악성링크는 공용 모듈에 삽입되어 있어 방문자가 어느 페이지로 접속을 하든 악성링크가 실행되는 현상이 나타나고 있으며 보안패치가 되어있지 않은 취약한 사용자는 악성코드에 감염될 수밖에 없는 상황이다.
 
빛스캔 분석 결과, 자바7종, IE 1종, 어도비 플래시 1종의 취약점을 이용한 공다팩으로 확인되었으며 최종 바이너리는 파밍 종류의 악성코드로 확인되었다.
 
보다 상세한 리포트는 데일리시큐 자료실에서 다운로드할 수 있다.
 
데일리시큐 오병민 기자 bmoh@dailysecu.com