빛스캔(대표 문일준)의 10월 3주차 한국 인터넷 위협분석 보고서가 나왔다. 10월 3주차 동향은 10월 2주차에 비해 주중 공격이 감소한 형태를 보이고 있다. 주말 공격은 전과 동일하게 일정 수준을 유지하고 있다. 10월 2주차에는 주중에도 공격하는 양상을 보였으나 금주에는 주중 공격이 감소 한 것으로 조사됐다.
 
전상훈 빛스캔 기술이사는 “매주 금요일에는 반복적으로 상당 규모의 공격이 이루어 지고 있음을 알 수 있다. 10월 2주차에 대규모로 발견된 C&C 연결을 시도하는 봇넷 에이전트의 경우 이번주에는 감소된 형태를 보이고 있다. 그러나 이미 뿌려져서 감염이 된 상태의 좀비 PC들이 상당한 수치에 이를 것이므로 추가 피해를 예방 하기 위해 지난주에 제공한 C&C 서버들의 주소는 반드시 차단을 하고 네트워크 장비를 이용해 해당 URL 및 IP로 접속하는 PC가 있을 경우 내부적으로 분석 및 추가 피해 방지를 위해 충분한 조치를 취하시기 바란다. 백신 점검으로는 되지 않으며, 초기화가 바람직한 형태가 될 것”이라고 조언했다.
 
이번주에는 또 국내 최대 지상파 방송 KBS 악성코드 유포 정황이 포착됐다. 해당 악성코드 발견을 어렵게 하기 위해 space, tab 등으로 난독화한 것이 확인됐다. 그리고 온라인 도박 게임 정보 수집 악성코드도 출현했다. 일명 뷰어(Viewer)라고도 불린다. 해당 악성코드는 자신을 맥아피(McAfee) 백신으로 위장해 서비스를 등록시키며 사용자가 감염된 PC를 통해 도박 게임 사이트에 접속 시 특정 목적지로 게임 패 정보를 전송하거나 사용자의 화면을 전송하게 된다. 불특정 다수인 웹서비스 방문자들을 대상으로 유포된 상태로서 그만큼 목적이 다양하며 공격과 악성코드 유포가 쉬워진 상태를 의미 하고 있다.

 
전 이사는 또 “또 다른 특징으로는 이번주 발견된 악성코드 중에서 아이콘으로 위장한 형태가 발견되었다. 아이콘들을 통째로 올려놓고 공격자의 입맛에 맞게끔 사용하고 있다는 정황이 포착되었다. 이 유형은 기업이나 백신 업체에 대한 신뢰를 이용해 사용자를 속이기 위한 기법들이며 9월 4주차부터 꾸준히 사용되고 있다”고 주의를 당부했다.
 
국내 사이트(banner.xxx.co.kr)를 해킹해서 공격세트들을 업로드했으며 웹 서버 설정 중 하나인 디렉토리 리스팅 금지가 원래 사이트에 되어 있지 않아 흔적들이 그대로 노출이 된 것을 볼 수 있다. 배너광고를 제공하는 곳은 이런 형태로도 공격에 이용이 되고 있는 상황이다.   
 
전 이사는 “현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타깃형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포다. 확산도가 높아서 위험성이 높은 상태”라며 “기업·기관별로 인터넷 접근시에 많은 보호대책을 적극 반영해 대응해야 한다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황이다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 매우 높은 수준”이라고 평했다.
 
빛스캔 보고서에 의한 이번주 공격의 특징을 정리하면 다음과 같다.
•국내 최대 지상파 방송 KBS 악성코드 유포 정황 포착. 해당 악성코드 발견을 어렵게 하기 위해space, tab으로 난독화
•온라인 도박 게임 정보 수집 악성코드 출현
•정상 프로그램으로 위장하기 위한 아이콘들 악용. 11번가, 구글, 지마켓, 네이트 등
•8월 1주차에 발견되었던 sl.php 유형의 Mass SQL Injection 공격 여전히 발생
•10월 3주차는 10월 2주차에 비해 주중 공격 감소
•8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC 들을 활용한 추가 위험이 발생할 수 있는 상태)
•APT 형태의 악성코드 유포 계속. 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속
•다단계 유포통로를 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적으로 이용됨
•3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견
•최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태 의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
•백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
•게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
•백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨
 
전 이사는 “공격자의 의도에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매 우 큰 차이를 가질 수 밖에 없다. 선제적인 사전대응이 얼마나 중요한지 알아야 한다”며 “MalwareNet 자체를 여러 곳 활용하는 형태도 전주에 이어 계속 발견 되고 있으며, 금주에는 Impact 지수는 99을 나타내고 있다. 다수의 MalwareNet을 또 하위 유포채널로 유지하고 있는 형태를 지니고 있어서 공격자는 단 한 번의 변경만으로도 최소 99여 곳 이상의 웹서비스에서 동시다발적으로 악성코드를 배포할 수 있는 상태다. 이용된 주소는 MalwareNet 주소이며 현재는 삭제되었다. 그러나 다른 사이트들에 추가된 gaxxx.xxxxx.com/assets/js/tooltip/jquery.vlew.js 주소는 현재도 그대로 유지된 정황을 보이고 있다. 공격자가 다시 악성링크를 동일 주소로 생성할 경우 그대로 이용할 수 있는 상황”이라고 사전대응의 중요성을 강조했다.
 
또한 그는 “현재 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있다. 따라서 단순 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있다”며 “기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있다. 반드시 기관과 기업 내부적으로 강력한 권고가 있어야 한다. Oracle Java취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있다”고 설명했다.
 
특히 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어 현재 공격자들이 주력하는 부분이다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있다.
 
한편 전 이사는 “9월 1주차부터 신용정보 조회, 아이템매니아, 아이템베이 사이트까지 계정 탈취 기능이 추가 되었다. 악성코드 감염자가 신용정보 조회 사이트에서 자신의 신용정보를 검색하는 순간 자신의 개인정보가 노출될 수도 있다. 또한 아이템매니아, 아이템베이 사이트는 온라인 게임 아이템 거래 사이트다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있다”며 “돈이 되는 곳은 모두가 대상이 되어 있는 상태다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것”이라고 경고했다.
 
또한 빛스캔 보고서에는 악성링크에 이용되는 미국의 EGI Hosting사의 IP 대역 상당수를 직접 악성링크로 활용한 사례를 소개하고 해당 IP 대역에 대해 강력히 차단을 해야 한다고 강조하고 있다.
 
전 이사는 “2년 이상 빛스캔이 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있다”며 “반면 대응 기술 측면에서 발전은 지지부진한 상황이다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입이 이루어지고 있다. 빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있다. 각 부분별로 발전적인 협력을 원한다면 메일로 문의를 주시면 답변하겠다”고 밝혔다.
-메일주소: info@bitscan.co.kr
 
빛스캔 정보제공 시범 서비스는 순차적으로 1개월 경과 시 종료된다. 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr으로 기관명, 담당자, 연락처를 기재해 보내주면 된다.
 
보고서 분석을 위한 악성링크 자체 수집은 빛스캔 PCDS (Pre-Crime Detect System)를 통해 수집되고 있으며 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com