4월 3주차 악성코드 동향을 보면, 신규 경유지는 감소했지만 최소 260여 곳과 연결된 맬웨어넷이 출현했다. 또 탐지 우회를 위해 로또 관련 사이트에 악성링크가 삽입된 정황이 포착됐고 포털사 별로 은행권, 카드사 등과 연결되는 파밍 악성코드 공격도 있었다.
 
빛스캔(대표 문일준) 측은 “신규 경유지가 감소한 이유는 해외에서 활발하게 활동을 보이고 있는 레드킷의 수치를 통계에서 제외했기 때문이다. 반면 국내를 대상으로 직접적인 영향을 주는 신규 경유지는 지난주에 비해 증가했으며 이번주 다시 활발한 악성코드 활동이 포착됐다”며 “기존 악성코드 유포지로 이용됐던 병원, 게임사이트, 언론사 등이 유포지로 활용되고 있다”고 전했다.
 
또 “일부 사이트에서는 시작 페이지가 아닌 이벤트 페이지와 같이 특정 페이지에 악성링크를 삽입하는 정황도 포착됐다”며 “해당 페이지는 메인 페이지와 분리돼 있어 탐지하기가 쉽지 않다는 것을 공격자가 이용한 것으로 추정된다. 또한 새롭게 파밍 악성코드에서는 포털 사이트 접속시 네이버에서는 은행권으로, 다음에서는 카드사로 연결되는 모습도 확인됐다”고 밝혔다.

 
한편 로또 관련 사이트 이벤트 페이지를 통해 악성코드가 유포되는 정황도 포착됐다. 기존 로또 관련 사이트를 통한 유포는 사용자가 많이 접속하는 메인 페이지를 통해 유포가 이루어졌지만 지난 주말에 발견된 악성링크는 특정 이벤트 페이지를 접속한 사용자만을 대상으로 유포가 이루어진 것이다.
 
빛스캔 측은 “지난주에 비해 대규모 맬웨어넷의 활동 등으로 인해 위협이 증가하고 있는 상황이지만 지난주와의 연계 관계 등을 고려해 ‘주의’ 등급을 그대로 유지한다”고 밝혔다.
 
보다 자세한 사항은 데일리시큐 자료실에서 다운로드 가능하다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com