지난 주말 멀웨어넷을 이용한 대규모 악성코드 유포가 발생했다. 빛스캔(대표 문일준) 측은 2014년 하반기에는 대부분 웹사이트 100개 이하를 보유한 중급 규모의 멀웨어넷(MalwareNet)이 간간이 활동하는 것으로 관찰되었지만, 11월 3주차에 들어서면서 최소 600여 개의 웹 서버를 보유한 초대형급으로 발전되었다. 특히 지난 주말에는 지금껏 관찰된 바가 없는 초대형 멀웨어넷이 활동하기 시작했으며 그 규모는 약 1,000여 개의 웹사이트를 보유한 것으로 확인되었다고 전했다.
 
최근 해외뿐만 아니라 국내에서도 화두가 되고 있는 APT(지속위협공격)는 특정한 대상을 직접 노리는 타깃공격(Targeted Attack)과 다수의 대상을 노리는 워터링 홀 공격(Watering Hole Attack)으로 나눌 수 있다.

 
국내에서는 웹사이트 내에 악성링크를 삽입해 보안이 취약한 사용자가 해당 사이트를 방문하는 과정에서 악성코드에 감염시키는 형태의 공격이 주를 이루고 있으며, 이러한 공격 방식을 드라이브 바이 다운로드(Drive-by-download)라고 한다. 이에 반해 해외에서는 특정한 대상을 직접 노리는 타깃 공격이 많이 발생한다.
 
빛스캔 관계자는 “많은 사용자들을 감염시키기 위해 공격자는 다양한 기법을 활용하는데, 그 중 APT의 특성을 이용한, 즉 기존의 공격들은 알려지지 않은 악성코드를 이용해서 공격을 시도하기 때문에 공격 성공률이 매우 높고, 기존 솔루션에 의해서 차단될 가능성이 낮기 때문에 그 만큼 효과적”이라며 “게다가 한 두 개가 아닌 수십에서 수백 개의 웹사이트에 동시다발적으로 악성링크를 삽입해 짧은 시간 동안 많은 사용자에게 악성코드에 감염시키게 하는 멀웨어넷이라는 배포 방식을 이용한다”고 설명했다.  
 
초대형 멀웨어넷의 심각한 문제는 단 하나의 내용 변경만으로도 천여 개 이상의 웹서비스들에서 동일한 공격이 방문하는 이용자들을 대상으로 발생된다는 점이다. 대규모 감염을 상시적으로 발생시킬 수 있는 상황이며, 실시간 대응이 어려운 공격 기법들을 공격자들이 즉시 활용할 수 있다는 점에서 심각한 우려를 할 수 밖에 없다.
 
업체 측은 “멀웨어넷의 탐지 및 대응을 위해서는 컴퓨터 이용자뿐만 아니라, 국가 유관 기관, ISP 등의 공조가 필수적”이라며 “멀웨어넷이 활동을 하지 않는 시기라고 하더라도, 해당 링크가 삽입되어 있는 웹사이트를 지속적으로 모니터링해 제거해야 하며, 멀웨어넷의 활동이 탐지될 경우에는 그 대상 및 범위를 관찰하고 악성 링크를 분석하는 등 추가 대응이 필요하다”고 조언했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com