최근 악성코드 공격의 특징은 다중 취약성을 공격하는 공격 세트가 대거 증가했다는 것이다. 단일 취약성이 아닌 여러 취약성(IE, Java, Flash)을 동시에 공격해 성공률을 높이는 형태가 계속 증가하고 있어 감염률이 극도로 높아지고 있는 상황이다. 또 9월 3주차에는 IE 제로데이(CVE-2012-4969)까지 악성코드 공격에 직접 활용된 것이 확인됐다. 하지만 대응은 제대로 이루어지지 않아 매주 반복되는 것이 큰 문제다.
 
빛스캔(대표 문일준)은 9월 3주차 주간인터넷 동향 보고서에서 “국내를 대상으로 한 IE 제로데이(CVE-2012-4969) 공격이 감염을 위해 출현했으며 추가적인 공격을 위한 다운로더들의 발견이 급증한 상태를 보이고 있다”며 “다운로더 중 행위가 파악된 것들은 3.4 DDoS와 7.7 DDoS에서 사용했던 방식을 취하고 있다. 해외사이트에 올려진 ***.gif 파일을 받아 추가적인 공격코드나 명령을 받는 방식이 실제로 파악 된 상태라 가까운 미래에 유사 사건 재발 가능성이 높은 상황”이라고 진단했다.  
 
보고서에는 “IE 제로데이(CVE-2012-4969) 취약점은 특정 정당 사이트를 통한 악성코드 유포에 활용되기도 했다. 해당 사이트를 통해 수집된 악성코드는 백도어 형태의 일종으로 파일 생성, 자동실행 등록, 암호화 통신 시도, 악성 도메인 접근(ahalab.4irc.com, alyac.flnet.org, alync.suroot.com) 등의 기능을 수행한다. 도메인은 수시 활성화 가능성이 있으므로 즉시 차단이 필요하다”고 경고하고 있다.
 
현재까지는 표적 공격으로 판단할만한 별다른 특이사항을 보이고 있지 않지만, 향후 대선과 같이 사회적 이슈에 민감한 사이트들을 대상으로 계속적인 모니터링이 필요한 상황이다
 
또 9월 3주차 특징으로는 PC에 설치되는 최종 악성코드 기능에 ARP 스푸핑을 통한 웹페이지 변조 후 <script language=JavaScript src=http://http://ewy.xxxxxxxx.net//tj.js> </script>를 삽입하는 형태가 발견됐다는 점이다. 같은 네트워크 PC중 단 한 대만 감염되더라도 같은 네트워크를 쓰고 있는 모든 PC들이 공격자가 변조한 웹 페이지로 접속하는 형태가 나타나 ISP 및 기업/기관에서는 해당 주소에 대한 모니터링 강화가 시급하다.
 
ARP 스푸핑을 이용하는 공격코드의 기능은 현재까지는 135, 445 포트를 통해 내부 IP 대역까지 검사해 정상적으로 다운로드가 될 경우(tj.shuxxxxxx.com)122.225.112.xxx에 감염PC의 맥어드레스와 PC이름을 보낸 후 Updateok라는 메시지를 보내어 공격자들은 감염된 PC에 대한 통계 정보를 끊임없이 수집하고 있다.
 
또 발견된 최종 악성코드의 특징으로는 악성코드 감염 후 내부 시스템 및 네트워크 정보수집 행위가 강화되고 있다는 것. 또한 분석방해를 위해 악성코드 분석에 사용되는 가상머신 여부를 확인하며 악성코드를 분석할 때 사용하는 디버거의 동작 여부를 확인하고 만약 확인이 되었다면 악성코드 분석을 방해하기 위해 블루스크린을 일으킴으로써 분석을 방해해 적극적으로 회피하는 형태도 발견되고 있다.

 
특히 다단계 유포통로 (MalwareNet)을 활용한 악성코드 유포 시도도 매우 활발히 진행되고 있고 유포통로 확산 이후의 과정인 적극적인 활용 단계에 돌입한 것으로 판단된다. 백도어 및 루트킷 형태의 악성코드들도 다단계 유포통로를 이용해 유포 된 정황이 발견되고 있다.
 
전상훈 빛스캔 기술이사는 “현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타깃형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태”라며 “기업과 기관별로 인터넷 접근 시에 보호대책을 적극 반영해 대응해야 한다”고 강조했다.
 
또 “기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황”이라며 “이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있다”고 밝혔다.
 
지난 9월 3주차 악성코드 공격의 특징을 정리하면 다음과 같다.
•신규 제로데이 Internet Explorer 취약점(CVE-2012-4969) 출현 및 특정 정당 사이트에서 악성코드 유포(전문분석 보고서 제공)
•8월 3주차 대거 관찰된  루트킷, 백도어 유형의 경우 금주 차 활동 계속: 부가적인 위험 증가 (감염된 좀비PC들을 활용한 추가 위험이 발생 할 수 있는 상태)
•APT 형태의 악성코드 유포 계속: 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속
•MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화
•3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견의 급증
•최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
•백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
•게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
•백신 업데이트 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨
•기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높다.
•기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내·외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있음.
 
한편 지난주부터는 악성코드에 감염되면 신용정보 조회, 아이템매니아, 아이템베이 사이트 접속시계정이 탈취되는 기능이 추가 되었다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있다. 또한 아이템매니아, 아이템베이 사이트는 온라인 게임 아이템 거래 사이트다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태다.
 
전상훈 이사는 “현재 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있다. 또 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있다”며 “기본적인 문제를 해결 할 수 있는 보안패치는 반드시 적용 해야만 위험을 줄일 수 있으니 반드시 기관과 기업 내부적으로 강력한 권고가 있어야 한다. Oracle Java 취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용 돼 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울여야 한다”고 강조했다.
 
또 그는 “빛스캔 PCDS에 탐지된 내용을 바탕으로 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며 때로는 1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 한다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로 대응적인 측면에서 한계를 보일 것으로 판단된다”고 설명했다.
 
더불어 “지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생 하고 있는 현실이다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위”라며 “사전에 얼마나 대응을 하느냐가 가장 중요하다. 빠른 정보를 확보해 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구된다”고 밝혔다.
 
빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있다.
 
정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr이며 기관명, 담당자, 연락처를 기재해 보내면 받아볼 수 있다. 시범은 기관, 기업별 1회에 한정하고 있다.
 
보고서 분석을 위한 악성링크 자체 수집은 빛스캔 PCDS(Pre crime detect system)를 통해 수집하며 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com