세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
추석 연휴 이후, 웹 통한 악성코드 대폭 증가
  |  입력 : 2016-09-26 15:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
단기간 동안 2만건 이상의 감염 확인...위험도 높아

[보안뉴스 김태형] 추석연휴 이후 언론사 카툰, 날씨관련 서비스, P2P 등에서 악성코드가 대량 유포되는 것으로 확인됐다. 단기간 동안 2만건 이상의 감염 기록이 확인됨에 따라 현재 위험도가 높은 상황으로 분석됐다.

웹 취약점 탐지 전문 회사 빛스캔에 따르면, 위협 관찰 이래 매년 반복되는 특징으로, 추석 연휴 직후 강도 높은 악성코드의 유포가 있었다. 항상 새로운 공격기법을 실험하고 적용하던 형태가 관찰되었으나, 올해는 새로운 공격기법보다는 기존의 공격 방식이 그대로 이용 하는 것으로 확인되고 있다고 밝혔다.

▲ 그림 1. XX배너 웹 사이트에 삽입된 악성 URI – 2016년 9월 20일


한동안 관찰되지 않던 대형 유포망인 ‘MalwareNet’의 움직임도 더불어 관찰되고 있어 위험성이 단기간에 높아진 상태를 보이고 있는 것으로 분석됐다. MalwareNet의 역할을 하는 악성 URI은 주로 배너광고 링크를 활용한다. 배너광고 URI에 악성링크가 삽입되면, 그 즉시 해당 링크를 사용하고 있는 모든 웹 서비스들에서 일제히 악성코드 유포가 발생되는 구조라 대응과 탐지가 매우 어려운 부분이라 할 수 있다.

그림 1은 날씨정보를 나타내는 배너광고의 웹 사이트로, 9월 20일에 해당 웹 서비스가 해킹 되어 악성코드를 유포하도록 코드의 변조가 이루어졌다. 날씨정보가 필요한 웹사이트의 관리자들이 위 서버의 링크만 등록시키면 날씨가 등록이 되는 구조다. 즉, 인터넷 사용자가 배너 광고를 클릭하면 자동적으로 날씨정보를 보여주는 역할을 한다. 만약 악성링크가 삽입이 되어 있다면 같이 실행되고 자신도 모르게 악성코드에 감염된다.

빛스캔 측은 9월 4주차부터 악성코드의 활동이 지속적으로 증가하고 있으며, 10월이 되기 전까지 증가 할 것으로 전망했다. 또한, 10월 1일부터 10월 8일까지는 중국의 국경절이 포함되어 있어 현재의 증가 추세가 계속될 것인지는 관찰이 필요하다고 설명했다. 관찰 결과에 따라 오랜 기간 주의 등급을 유지한 한국 인터넷 위협 지수가 또 다시 상향될 수 있다는 얘기다.

웹 서핑만으로도 감염되는 악성코드의 경우, 대부분 PC내의 인증서 유출이 먼저 발생되고 PC의 모든 정보가 유출된다. 2015년에는 스마트폰도 동시 감염시키고 인증서도 동일하게 유출하는 현상도 관찰된 바 있다. 또한, 공격자가 만들어 놓은 파밍 사이트로 강제로 이동시키는데, 연결된 이후 개인정보를 입력하게 된다면 공격자는 해당 정보를 토대로 개인의 계좌에서 그대로 금액을 인출하여 피해자가 될 수 있다. 해당 피해를 막기 위해 개인 사용자가 취할 수 있는 대책은 정보의 입력에 대해서 의심하는 것뿐일 정도로 실질적인 대응책이 없는 상황이다.

▲ 그림 2. 서울XX외 3개 언론사 웹 사이트에 삽입된 악성 URI – 2016년 9월 20일


그림 2와 같이 최근에 언론사의 외주 서비스들에서도 유포 사례가 발견되고 있고, 다수의 파일공유 사이트에서도 이례적으로 유포가 발생되고 있다. 감염이 발생되면 백신 탐지를 우회하고 PC내에 저장되어 있는 공인인증서 및 PC 정보를 탈취해 전달하고, 원격에서 조정할 수 있는 형태가 되므로 또 다른 추가 피해가 발생할 가능성이 높다.

▲ 그림 3. 감염된 이후 공격자가 만들어 놓은 파밍 사이트


악성코드에 감염되면 PC의 정보도 탈취되는데, 꾸준히 제공해왔던 파밍 피해 기록을 살펴보면, 표 1과 같이 1월부터 9월까지 최소 3만여건에서 최대 30만여건까지 피해가 꾸준하게 확인되고 있다.

추석 연휴 이후, 9월 4주차에 발견된 악성 URI에 의해서 감염된 PC의 공인 IP가 단 하루에 1만건이 넘는 대규모 감염 현상이 관찰되고 있어 피해가 심각할 것으로 예상된다. 기업 및 기관의 경우 인터넷 접속 시 사용하는 공인 IP에 감염 기록이 있을 경우 알려지지 않은 악성코드가 내부망에 감염된 상태일 수도 있어 확인 및 점검이 필요하다.

▲ 표 1. 감염 IP 기록 통계– bitin.me 2016.09.05 기준통계


악성코드 감염 이후 정보의 전달이나 기록을 남기는 것이 모두 공인 IP를 기준으로 하고 있어서 내부의 사설 IP를 특정해 확인할 수는 없지만, 내부 감염이 의심된다고 볼 수 있다. 이러한 경우 비트인(http://bitin.me) 사이트에서 감염 여부를 확인할 수 있다.

현재 빛스캔은 국내외 410여만개(2016년 1월 1일 기준)의 웹 서비스들을 5년 이상 지속적으로 모니터링하고 있으며, 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 이를 바탕으로 한 주간의 한국 인터넷 위협현황에 대해 정보를 제공하고 있다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
공인인증서 제도가 폐지될 것으로 보입니다. 향후 공인인증서를 대체할 수 있는 최고의 인증기술은 무엇이라고 보시나요?
생체인증
전자서명
바코드·QR코드 인증
블록체인
노 플러그인 방식 인증서
기타(댓글로)