세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
2016년 우리를 가장 괴롭힌 악성링크와 랜섬웨어는?
입력날짜 : 2016-12-21 15:50
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
badware.info 발표, 2016년 악성링크·랜섬웨어 통계현황 분석해보니...
2016년 대표 키워드는 랜섬웨어, 랜섬웨어 1위는 록키로 드러나


[보안뉴스 권 준 기자] 2016년 한 해 동안 어떤 악성링크와 랜섬웨어들이 우리들을 많이 괴롭혔을까? 특히, 올해는 그 어느 때보다 랜섬웨어가 기승을 부린 한 해였기 때문에 그간 어떤 랜섬웨어들이 유포되어 피해를 입혔는지에 대해 관심이 매우 높다.

이러한 가운데 전 세계 웹사이트를 대상으로 악성링크 유포지-경유지 실시간 탐지 및 정보를 제공하는 서비스인 badware.info에서 2016년 악성링크 유포현황을 집계한 ‘악성링크 유포탐지 시스템 동향분석 보고서’를 발표해 주목을 끌고 있다.


2016년 악성링크와 연관된 대표적인 키워드
badware.info에 따르면 2016년에 발견된 악성링크에 연관된 대표적인 키워드들은 랜섬웨어, 드라이브 바이 다운로드, 앵글러, Cerber, Locky, 카이신, 파밍, Flash 등이었으며, 예상대로 랜섬웨어와 관련된 키워드들이 상당수를 차지했다.

▲ 2016년 탐지된 악성링크에 대한 통계


이와 함께 badware.info에서 탐지된 악성링크 통계를 집계한 결과, 블랙리스트에 등록된 카운터 링크 스크립트가 삽입된 statcount 패턴인 16,723건, 과거에 삽입된 악성링크 유포 위협이 제거되지 않은 history는 70,983건, Exploit Kit으로 분류된 악성 스크립트가 삽입된 경우는 1,824건, VBScript 계열로 분류된 악성 스크립트가 삽입된 경우는 3.206건으로 나타났다. 특히, 랜섬웨어를 유포하는 EK로 분류된 경우가 20,872건, 악성으로 사용될 위험이 있는 함수를 사용하는 파일을 링크를 통해 다운로드 하는 경우인 malware 패턴은 14,567건으로 집계됐다.

가장 기승을 떨친 랜섬웨어는 ‘록키’
올해 가장 기승을 떨친 랜섬웨어 종류로는 록키(Locky)가 69%를 차지했고, TorrentLocker 21%, CpyptoWall 9%, 케르베르(Cerber) 2% 순으로 조사됐다.

▲ 악성링크를 이용한 랜섬웨어 유포 종류


더욱이 랜섬웨어와 악성링크를 이용해 유포할 때 Angler EK와 같이 플래시(Flash) 등의 플러그인 취약점으로 무장한 익스플로잇 킷(Exploit Kit)을 이용해 Drive By Download 방식으로 공격하는 경우가 많은 것으로 드러났다. 이 경우 사용자가 웹사이트에 접속하기만 해도 랜섬웨어 실행 파일이 다운로드 및 실행되며, 사용자가 인지하지 못한 채 웹 서핑 중에 감염될 수 있다.

방치된 웹사이트들, 악성코드 유포지와 경유지로 악용
마지막으로 관리되지 않는 웹사이트들은 올해 역시 악성링크 경유지 및 유포지의 온상이 되고 있는 상황이다. 근본적인 문제가 해결되지 않은 취약한 웹사이트는 잠재적인 보안 위협의 창구 역할을 하게 된다. 악성링크 경유지 및 유포지 웹사이트가 끊이지 않고 발견되는 이유 중에 하나는 바로 방치된 웹 서버, 즉 관리자가 지속적으로 관리하지 않는 사이트가 악성링크 유포지와 경유지로 악용되기 때문이다.

악성링크 경유지의 경우에는 실제 사이트 내에서 악성 행위를 하지 않고, 유포지로의 전달자 역할을 하기 때문에 지속적인 모니터링이 없는 경우 해당 사실을 관리자가 알아차리는 데에는 많은 시간이 걸린다는 게 badware.info 서비스의 분석이다.

일례로 영화 DVD 구매사이트 1곳은 악성링크 경유지 사이트로, 피부과 병원 1곳은 악성링크 유포지 사이트로 여러 달 동안 악용되면서 악성링크를 유포시킨 것으로 드러났다. 이러한 사이트들은 악성링크가 제거됐더라도 관리자의 조치방법에 따라서 다시 악성링크 경유 사이트로 활성화될 수 있기 때문에 더욱 문제가 크다.

만약 관리자가 악성링크 유포자의 공격 루트에 대해서 분석 및 조치를 하지 않고, 단순히 JS 파일을 수정하거나 해당 파일을 삭제하는 등의 조치를 한 경우에는 URI 경로만을 수정하여 경유지 사이트로 다시 활성화될 수 있기 때문이다.

▲ mal.history 패턴 탐지 횟수 통계


실제로 이러한 사이트가 탐지되는 횟수는 매달 꾸준히 증가하고 있으며, 현재 우리나라 기준으로 약 6,000~8,000개의 사이트가 해당 위협에 노출되어 있는 것으로 분석됐다. 이에 따라 악성링크에 대한 지속적인 추적·관찰을 통한 이력관리 시스템 도입과 함께 악성링크 유포 블랙리스트를 바탕으로 악성링크 유포 사전차단 시스템을 기업 내에서 적극 활용할 필요가 있다.

한편, badware.info 서비스는 보안 스타트업인 업루트가 개발하고, 인스소프트가 유통·판매하고 있는 악성코드 유포지-경유지 실시간 탐지 및 정보 제공 서비스로, 악성코드 유포 사전차단 장비인 ‘WebDefender’를 통해 보다 상세하게 구현될 수 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

badware.info   랜섬웨어   악성링크   록키   업루트   인스소프트               


정보보안 관련 자격증 가운데 보안 실무에 있어 가장 필요하다고 판단되는 자격증은?
정보보안기사 및 정보보안산업기사
정보시스템보안전문가(CISSP)
정보시스템감사사(CISA)
정보보안관리자(CISM)
산업보안관리사(ISE)
정보보안관제사(ISC)
사이버포렌식전문가(CCFP)
인증심사원 자격(ISMS/PIMS/ISO27001 등)
기타(댓글로)