주말 집중적 악성코드 유포…탐지와 대응책은?
상태바
주말 집중적 악성코드 유포…탐지와 대응책은?
  • 이광재 기자
  • 승인 2014.04.04 15:14
  • 댓글 0
이 기사를 공유합니다

SPCIAl REPORT / 대규모 악성코드 유포 동향 분석

2013년 악성코드 은닉사이트 1만7750건…2012년 대비 36% 증가
주기적 취약점 점검·웹셸 탐지도구 설치·보안패치 실행 등 필요


개요
2013년 한해 동안 1만7750건의 악성코드 은닉사이트(해킹을 당해 악성코드 자체 또는 악성코드를 유포하는 주소(URL)가 숨겨져 있어 홈페이지에 방문한 PC를 악성코드에 감염시킬 수 있는 웹사이트를 의미)가 탐지됐다. 이는 2012년 탐지된 건수보다 증가한 수치이며 악성코드 은닉사이트는 매년 추세에 있다.

악성코드 은닉사이트 특성을 살펴보면 대량 경유지와 연결되는 유포지가 확인된다. 대량 경유지를 통해서 짧은 시간내에 대규모 좀비PC를 신속히 확보하는 것이다.

2013년 발생된 대량 경유지 악용 악성코드 유포 사고 시점을 보면 대규모 악성코드 유포 공격이 주로 주말(금요일 18시 이후~일요일)에 집중적으로 발생한다는 것이 확인(전체 사고의 70%가 주말에 발생)된다.

대규모 악성코드 유포를 시도하는 공격자들이 주말을 악용하는 이유는 서버에 대한 기술적인 조치가 주말에 미흡하기 때문이다. 실제 악성코드 유포에 악용된 서버를 섭외해서 분석을 수행하려 해도 담당자가 연락이 되지 않거나 차주 업무시간에 진행이 가능하다는 답변을 자주 듣게 된다. 공격자들은 이러한 부분을 악용하는 것이다.

본 보고서에서는 지난 1년간 발생된 주말 악성코드 유포사고 분석 기반으로 대규모 악성코드 유포를 목적으로 하는 공격의 특성들을 살펴본다. 특히 유포되는 악성코드 유형과 사용자 PC를 감염시키기 위해 사용되는 취약점, 악성코드 유포에 주로 악용되는 은닉사이트의 유형, 그리고 공격자의 공격 기법 및 특징 상세 분석을 통해 주말 악성코드 유포 사고의 심각성을 다시한번 생각하고 대응 방안을 제시한다.

공격자는 어떤 악성코드를 유포하는가?
2013년 한해동안 주말에 유포된 악성코드는 원격제어와 다운로더, 드롭퍼, 정보수집 악성코드가 주를 이뤘고 DDoS공격, 금융정보탈취, 금융사이트 파밍, 온라인 게임 계정탈취 악성코드도 다수 확인됐다.

특히 원격제어 악성코드의 비중이 상당히 높은 것을 알 수 있다. 이는 최근의 사이버공격이 지속성을 유지하려는 특성을 가지고 있음을 쉽게 확인할 수 있다. 또 한가지 주목할 부분은 정보수집 악성코드의 비중이다. 정보수집 악성코드가 주로 수집하는 정보는 감염된 PC의 시스템 정보이다.

시스템 정보에는 일반적으로 PC가 위치한 네트워크 환경(기업의 경우 기업명 등도 확인 가능) 및 사용자에 대한 정보가 포함돼 있다. 즉, 이러한 정보들을 통해 공격자는 감염된 PC에 대한 다양한 환경 정보 수집이 가능하며 공격 대상을 선별할 수 있게 된다.

악성코드 유형을 APT 관점으로 바라보게 된다면 주말 악성코드 유포 대응이 곧 APT 공격 대응이라고 할 수 있다.

공격자는 어떤 취약점을 악용하는가?
악성코드는 사용자 PC가 가지고 있는 취약점을 통해 설치된다. 악성코드가 설치되면 시스템 변조 및 정보를 유출할 수 있는 권한이 공격자에게 주어지는 것이다. 공격자가 악성코드를 PC에 감염시키기 위해 악용한 취약점은 아래 5가지로 분류된다.

- MS IE 취약점 : 인터넷 웹브라우저 취약점
- 어도비 플래시 플레이어 취약점 : 웹서핑 시 브라우저로 비디오, 애니메이션 등을 볼 수 있게 해주는 플러그인 취약점
- 자바 애플릿 취약점 : 웹페이지상에서 실행되는 자바 프로그램 취약점
- MS 윈도 미디어 취약점 : 윈도 미디어 플레이어 취약점
- MS XML 취약점 : 인터넷에서 사용되는 xml 언어 해석 도구 취약점

위에 언급된 5가지는 모두 사용자 PC에 설치되는 가장 일반적인 프로그램의 취약점을 악용한 것이며 5가지 모두 지속적으로 취약점이 발견되고 조치되는 과정이 반복적으로 수행되고 있다. 최근 중국 온라인 보안 솔루션 회사에서 발표한 ‘2013년 정보안전보고’ 자료에서도 위에서 언급된 취약점을 10대 고위험 취약점에 포함시키고 있다.

주말 악성코드 유포 사고의 경우에는 사용자 PC가 위에 언급된 5가지에 대한 취약점 조치만 잘 하더라도 대부분의 감염을 예방할 수 있다. 사용자는 악성코드 감염을 예방하기 위해 위에 언급된 프로그램에 대한 지속적인 업데이트(자동업데이트)가 반드시 필요하다.

공격자는 어떤 유형의 홈페이지를 악용하는가?
공격자의 최대 목적은 대규모 경유지를 이용, 신속히 감염PC를 확보하는 것이므로 악성코드 경유지 및 유포지 확보를 위해 최대한 방문자가 많은 홈페이지를 악용한다.

2013년 한해동안 주말 악성코드 유포에 악용된 홈페이지 유형을 살펴보면 웹하드, 커뮤니티, 언론사가 가장 많은 비중을 차지했으며 쇼핑몰과 다수의 기업 홈페이지도 포함돼 있다.

커뮤니티는 특히 게임관련 정보를 공유하는 홈페이지가 주로 악용됐다. 웹하드, 커뮤니티, 언론사는 주말에 일일 방문자가 많은 홈페이지이므로 대규모 봇넷을 구축하려는 공격자에게 주요 타깃이 되는 것으로 보인다.

공격자의 홈페이지 공격 기법은?
공격자의 최초 침투경로 = 악성코드 은닉 사고에 악용된 홈페이지를 분석한 결과 공격자의 최초 침투 경로는 파일업로드·계정유출·SQL인젝션 3가지가 가장 큰 비중을 차지하고 있었다. 파일업로드의 경우 홈페이지 방문자가 파일을 업로드 할 수 있는 기능을 악용하는 공격이다.

파일업로드 취약점은 과거부터 지금까지 여전히 해킹 경로로 가장 많이 악용되는 통로다. 그럼에도 불구하고 소스코드 수정 및 서비스 변경 등에 대한 부담을 이유로 적절한 보안조치가 이뤄지지 않는 대표적인 취약점 영역이기도 하다.

전체 기사를 보시려면 로그인 필요

로그인 또는 회원가입을 해주세요. (회원만 열람가능)

로그인 회원가입

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.