건강, 의학 관련 그리고 중소 쇼핑몰 사이트, 커뮤니티, 게임 사이트 등이 여전히 악성코드 은닉사이트로 활용되고 있어 대책마련이 시급하다.
2019년 KISA 악성코드 은닉사이트 탐지 동향 보고서에 따르면, 악성코드 은닉사이트가 유포지는 전년 하반기 대비 12% 감소했고 경유지는 전년 하반기 대비 46% 감소한 수치로 조사됐다.
지난 하반기 악성코드 경유지로는 건강/의학(27%), 쇼핑(20%), 커뮤니티(16%), 게임(8%), 제조(6%) 등으로 조사됐다. 보안관리가 제대로 안되고 있는 사이트들이 여전히 많은 상황이다.
해커들은 주로 취약한 SW를 악용해 악성코드를 유포하고 있다. 지난해 해반기에는 MS IE 취약점이 69%로 가장 많이 활용됐고 다음은 어도비 플래시 플레이어 취약점이 31%로 뒤를 이었다.
악성코드의 목적으로는 기기정보 유출이 39%, 계정정보 유출이 27%, 원격제어가 13%, 다운로더 유포가 8%, 랜섬웨어 유포가 4%, 가상통화 채굴 목적이 3% 등으로 조사됐다.
KISA 관계자는 “기기정보나 계정정보 유출 목적의 악성코드가 많이 탐지된 것은 APT 공격 등 2차적인 공격을 통해 내부망 침투를 시도하기 위해 사전 조사 차원의 악성코드 공격이라고 볼 수 있다”고 전했다.
최근 해커들은 악성코드 유포방법을 분석해 보면 몇 가지 포인트를 발견할 수 있다.
우선 복합 취약점을 이용한 악성코드 유포 방식이다. 주로 MS IE, Adobe Flash Player 취약점 등을 복합적으로 악용해 악성코드를 유포시키는 사례다.
또 이용자가 많거나 관리가 부실한 홈페이지를 통한 악성코드 유포도 지속되고 있다. 공격자들은 주로 이런 사이트의 문의 게시판을 악용해 단축 URL을 악용한 악성 스크립트를 유포하고 있는 것이다.
한편 VBscript를 이용한 램닛(Ramnit) 악성코드 유포도 최근 특징이다. 스크립트 실행만으로 악성코드를 유포하는 사례가 지속적으로 나타나고 있는 것을 볼 수 있다.
그리고 가상화폐의 가치가 상승함에 따라 가상화폐를 요구하거나 채굴하는 악성코드의 유포도 지속되고 있다. 주로 자바스크립트 기반의 악성 스크립트를 이용해 가상통화 채굴 악성코드로 공격한다.
한편 해외 정보 공유 사이트를 악용하는 악성코드 유포 사례와 이메일 첨부파일(문서 파일) 및 링크를 통한 악성코드 유포도 계속되고 있어 이메일 보안에 각별한 주의를 기울여야 한다.
KISA 측은 “개인 및 기업은 보안점검 및 보안패치 등 보안강화를 통해 금융정보 유출 및 사이버 공격에 각별한 주의를 기울여야 한다. 이를 위해서는 개발 시점의 시큐어코딩을 통한 홈페이지 구축과 주기적인 취약점 점검 및 패치를 적용해 웹서버가 해킹되지 않도록 사전에 방지해야 한다.”고 강조했다.
더불어 “이용자는 MS 윈도우 보안 업데이트를 항상 최신 상태로 유지하고 어도비 플래시 플레이어, 자바, MS 제품군 관련 취약점에 의해 악성코드에 감염되지 않도록 주의해야 한다. 특히 올해 1월 14일 윈도우7 기술 지원이 종료됨에 따라, 새로 발견되는 보안취약점에 대해서 보안조치가 불가능하기 때문에 윈도우10으로 업그레이드 해야 악성코드 감염을 최소한 예방할 수 있다”고 권고했다.
★정보보안 대표 미디어 데일리시큐!★