2022-10-06 01:25 (목)
제조·건강·의학 및 교육·학원 업종 사이트들, 악성코드 경유지로 가장 많이 악용돼
상태바
제조·건강·의학 및 교육·학원 업종 사이트들, 악성코드 경유지로 가장 많이 악용돼
  • 길민권 기자
  • 승인 2022.09.01 17:26
이 기사를 공유합니다

이모텟 악성코드, 전체 악성코드 중 88% 이상 차지...타깃 공격 위한 정보수집용
KISA 보고서 내용중 이미지 캡쳐.
KISA 보고서 내용중 이미지 캡쳐.

2022년 상반기 악성코드 은닉사이트 탐지시스템에 수집·탐지된 악성 URL(경유지, 유포지)은 총 2,374건으로 2021년 하반기 대비 16%가 증가된 것으로 조사됐다. 

KISA ‘2022년 상반기 악성코드 은닉사이트 탐지 동향 보고서’는 수집된 악성 URL의 데이터 분석을 통해 ▲‘악성코드 경유지 주요 업종’, ▲‘IoT 악성코드(Mozi) 관련 유포지 탐지 지속’ ▲‘이모텟(Emotet) 악성코드 관련 유포지 탐지’ 등 주요 이슈 3가지를 선정했다. 

악성코드 동향 보고서 상세 내용은 다음과 같다. 

◇악성코드 경유지 주요 업종 ‘제조, 건강/의학, 교육/학원

2021년 하반기 대비 경유지 전체 건수는 하락(614건 → 415건, 32.5%↓)했으며 하반기와 마찬가지로 제조업 홈페이지가 경유지 악용 비율이 여전히 높은 것으로 나타났다.

2022년 상반기에는 건강·의학 및 교육·학원 업종 홈페이지가 홈페이지의 경유지 악용 비율이 높은 것으로 나타났다. 추가로 온라인 교육 업종 비율도 높은 것으로 확인되어 교육 관련 홈페이지가 경유지로 악용되고 있음을 알 수 있다.

또한, 한국은행이 6월에 발표한 소비자 동향 조사에 따르면 코로나 위기를 벗어나면서 타 업종에 비해 해당 업종들에 대한 소비가 꾸준해 방문자 수가 많은 해당 업종들의 홈페이지를 악성코드 경유지로 악용한 것으로 보인다. 이에 관련 업종 홈페이지 운영자 및 담당자는 관리하는 홈페이지의 주기적 보안 점검을 수행해 신규 취약점 등에 대해 조치를 취하는 등 각별한 보안관리가 필요하다. 

◇IoT 악성코드(Mozi) 관련 유포지 탐지 지속

2021년에 이어 2022년 상반기에도 IoT 악성코드인 Mozi가 지속적으로 대량 탐지되었다. 2021년에 1,653건이 발견 되었는데 2022년 상반기에만 1,676건이 탐지되었다. 유포지가 다수 발견된 국가는 중국, 인도, 브라질, 대만순으로 각각 1,207건, 138건, 70건, 25건이 확인되었다

Mozi 뿐만 아니라 KISA 탐지시스템에서 리눅스 기반 IoT 장치를 해킹하고 DDoS 봇넷을 구축하는 ‘XorDDoS’도 동시에 탐지 되고 있다. 이 악성코드는 명령제어서버(C2)와 통신 시 XOR 기반 암호화를 사용하고 DDoS 공격을 수행할 수 있는 봇넷을 구성한다.

국내외 유무선 공유기, CCTV, 영상녹화장비(DVR) 등 IoT 장비 대상으로 지속적으로 악성코드를 감염시키고 있어 Mozi 및 XorDDoS 뿐만 아니라 IoT 관련 악성코드 위협은 지속될 것으로 보인다.

IoT기기 사용자는 기본 제공 비밀번호 변경, 불필요한 서비스·포트 차단, 최신 버전 업데이트 등의 보안수칙 준수를 통해 감염 피해를 예방할 수 있다

◇이모텟(Emotet) 악성코드 관련 유포지 탐지

이모텟(Emotet) 악성코드는 금융정보 탈취를 위한 악성코드로 2014년에 최초 탐지되었다. 2021년 초 유로폴과 국제 사법기관의 공조로 이모텟 악성코드 운영진을 검거하고 관련 인프라 운영을 중단 시킨 것으로 알려졌으나 2022년 상반기 KISA 탐지시스템에 이모텟 악성코드 유포지가 탐지되어 주의가 요구되고 있다.

해당 악성코드 유행 당시 주로 이메일을 통해 악성코드가 유포 되었으며 첨부파일 실행 시 PC에 악성코드가 자동 실행 되거나 PC 정보탈취 또는 추가 악성코드를 다운로드했다. 그러나 이번에 탐지된 이모텟 악성코드 경우에는 파워쉘(Powershell) 명령이 포함된 윈도우 바로가기 파일(.lnk)를 악용하여 유포하거나 숨김 시트에 인코딩된 문자열을 삽입해 매크로를 실행하도록 유도하는 엑셀 파일(.xls) 등을 이용한 유포 방식으로 변화를 보이고 있다.

해당 매크로를 실행 할 경우 특정 도메인에 접속하여 추가 악성코드를 다운로드 하거나 PC 정보 등이 유출된다. 보안담당자는 침해사고를 예방하기 위해 꾸준한 신규 취약점 모니터링 및 보안 패치 수행 등이 필요하다. 

◇탐지된 악성코드, 248건으로 지난 하반기 대비 21% 증가

악성코드 은닉사이트 탐지 시스템에 수집·탐지된 악성코드는 2021년 하반기 205건에서 2022년 상반기에는 248건으로 21%가 증가되었다. 

2022년 상반기 수집된 악성코드의 데이터 분석을 통해 주요 이슈 3가지는 ▲‘정보유출 악성코드 지속 유포’, ▲‘폴리나(Folina) 취약점을 악용한 악성코드 유포 탐지’, ▲‘가상화폐 채굴 악성코드 탐지’ 등이다. 

◇정보유출 악성코드 지속 유포

2021년과 마찬가지로 2022년 상반기 정보유출 악성코드가 지속 탐지되고 있으며 2021년 하반기 보다 대폭 증가(2021년 하반기 49.8% → 2022년 상반기 84.9%, 35.1%↑)했다.

이모텟(Emotet) 악성코드가 대부분을 차지고 있으며(2022년 전체 악성코드 중 88.3%) 해당 악성코드는 타겟형 공격을 위한 사전정보 수집을 목적으로 기기 정보를 수집 후 악성코드에 은닉한 특정 도메인 혹은 IP로 정보를 유출한다. 

이모텟 악성코드 외에도 계정정보 유출을 위한 Formbook, Lokibot, AgentTesla 악성코드 등이 다수 탐지 되었다. 이 악성코드들의 주요 특징은 프로세스를 생성 후 특정 프로세스에 코드 인젝션을 수행하여 브라우저의 계정정보와 메일 계정 정보 등을 검색 후 특정 IP 유출한다.

따라서 인터넷 사용자는 출처가 불분명한 이메일 내 링크 및 첨부파일 열람을 금지하고 비정상 사이트 접근 및 광고 클릭 금지 등 사용자 주의가 필요하며 시스템 관리자는 관리 시스템의 보안 관리에 각별한 주의가 필요하다.

◇폴리나(Folina) 취약점 악용한 악성코드 유포 탐지

폴리나(Folina) 취약점(CVE-2022-30190)은 Microsoft Office에 존재하는 제로데이 취약점을 악용해 워드에서 URL 프로토콜을 사용해 마이크로소프트 지원진단도구(MSDT)를 호출할 때 원격 코드가 실행되는 취약점이 발견되었다.

올해 5월경 일본 보안업체 NaoSec이 최초로 해당 취약점을 발견하였으며 KISA 탐지시스템에도 관련 취약점 정보를 악용한 악성코드가 탐지되어 분석하였다. 현재는 마이크로소프트에서 보안 패치를 발표했지만 여전히 공격자들은 패치 되지 않은 시스템을 찾아 익스플로잇을 시도하고 있어 주의가 요구된다.

이번에 발견된 취약점은 매크로 악성코드와 다르게 문서를 열람하기만 해도 악성코드가 실행되는 것이 특징이다. 해당 취약점을 악용한 워드파일 실행 시 파일에 포함된 외부 URL과의 연결을 통해 취약점을 발생시키는 HTML파일이 다운로드 된다. 다운로드된 HTML파일은 마이크로소프트 지원진단도구(MSDT)를 호출하며 이후 악의적인 원격코드가 실행되는 취약점이 발생하게 된다.

이 때 원격코드가 실행되면 추가 파일이 다운로드되며 해당 파일은 감염된 기기의 정보를 유출하거나 랜섬웨어 등 악성코드를 실행하는데 악용될 수 있다.

◇가상화폐 채굴 악성코드 탐지

2022년 2월 러시아가 우크라이나를 군사적으로 침공했다. 이에 따라 지난 3월 미국 행정부는 러시아에 대한 경제적 제재를 강화하였으며 경제 제재의 회피 수단으로 익명성이 강한 암호화폐의 가치가 크게 상승하였다.

이에 따른 결과로 모네로를 비롯해 상당 수의 익명성이 강한 암호화폐의 가치가 4월에 가격이 상승했으며 비슷한 시기에 KISA 탐지시스템에도 모네로 코인 채굴 관련 악성코드가 탐지 되었다.

이 악성코드는 특정 IP나 도메인을 통해 악성 스크립트 등을 다운로드한 후 감염된 기기의 CPU상태를 체크한다. 이후 Wget, cURL 프로그램을 통해 특정 IP나 도메인에 접속하여 채굴 프로그램(XMRig)을 다운로드하고 실행 권한을 얻은 후 백그라운드로 실행한다. 

마지막으로 가상통화 지갑에 강제로 연결하여 모네로 코인을 채굴하게 한 후 마이닝 풀 도메인에 정보를 전송하게 한다. 가상통화  채굴 관련 악성코드(XMrig 등)에 감염된 경우, 정상 프로그램(svchost.exe 등)으로 위장하여 실행되며 CPU 사용량이 평소 사용량보다 급증하기 때문에 시스템의 이상이 발생할 수있으며 PC 사용자 및 시스템 관리자는 악성코드 삭제, 주기적인 백신 점검 및 최신화 등 보안 강화가 필요하다.

◇어떻게 대응해야 할까

악성코드 대응을 위해서는, 주기적인 홈페이지 보안 점검, 출처 불분명한 이메일 열람 금지하고 초기 비밀번호 사용 금지 등 개인 및 기업의 정보보호 실천수칙 준수가 중요하다. 

또 최신 업데이트된 안티바이러스(백신)를 이용해 주기적으로 점검하고 MS 윈도우 최신 보안 업데이트 적용도 필수다. 특히 2020년 1월 14일 윈도우 7 기술 지원이 종료됨에 따라, 새로 발견되는 보안취약점에 대해서 보안조치가 불가능하기 때문에, 상위버전(윈도우 10 또는 11)으로 업그레이드 하여야 한다.

더불어 2020년 12월 31일 이후로 어도비 플래시 플레이어의 지원이 종료됨에 따라, 새로 발견되는 보안 취약점에 대한 보안조치가 불가능하기 때문에 삭제해야 한다. 또 2022년 6월 15일자로 인터넷 익스플로러 11 제품의 기술지원이 종료되어 신규 보안 취약점 및 오류에 대한 보안 업데이트를 제공하지 않으므로 마이크로소픝 엣지 등 대체 브라우저로 교체해야 한다.

이번 보고서는 KISA 및 데일리시큐 자료실에서도 다운로드 가능하다. 

★정보보안 대표 미디어 데일리시큐!★