“5월 3주에 감염자 확인을 위해 이용된 도메인이 kbsxxx, imbcxxx로 확인되었다. 4주차에는 동시에 3~4개 맬웨어넷을 이용 80곳 이상을 경유지로 활용해 유포하는 등 활발한 공격이 관찰됐다.” 빛스캔(대표 문일준)이 5월 온라인 위협 동향 월간보고서를 19일 공식 배포했다.
 
빛스캔 5월 보고서에 따르면, 5월 1주부터 2주차까지 홍콩 소재 C클래스 대역을 통해 최소 10개에서 13개까지 꾸준하게 악성코드 유포가 이루어지고 있으며 지난 3.20 사이버테러 직전에 발생했던 징후가 3주차에 나타나기 시작했다고 밝혔다.
 
특히 감염 이후 C&C 및 접속자 통계 사이트로 연결에 이용된 도메인이 kbsxxx, imbcxxx로 활용된 정황이 발견되었으며 3.20 사이버테러 직전의 상황과 유사한 상황이 전개됐다는 것.
 
4주차에는 매우 비정상적인 유포 움직임이 관찰돼 관찰 경보가 주의에서 경고로 상향됐다. 그 이유는 전주에 비해 악성링크의 수치 및 영향도가 급격하게 증가한 것이 관찰됐으며 일시에 3~4개의 맬웨어넷을 생성하고 총 80곳 이상을 경유지로 활용한 것이 포착됐다. 또한 백신에 탐지되지 않는 악성코드를 동시에 감염 시도하는 정황도 이어졌다고 전했다.
 
한편 금융동향에서는 “일부 은행의 EV 인증서 도입으로 파밍에 대한 사용자의 피해를 줄이고자 하는 등 노력을 보였으나 홍보부족으로 인해 효과는 크지 않았다”며 “4주차에는 hosts, hosts.ics 파일 내부에 일부 포털 사이트를 미리 만들어 놓은 가짜 IP 주소로 연결해 파밍을 유도하고 있으며 새롭게 배치파일을 통해 hosts, hosts.ics에 파밍 사이트 주소를 넣어 배치파일 작성 이후에는 자동으로 삭제하는 기능도 발견됐다”고 밝혔다.
 
또한 “5월 악성코드 은닉사이트가 8,358건 탐지됐으며 5월 1주차를 정점으로 4주차에는 2,646건으로 점차 증가했다”며 “전월대비 123% 증가했고 신규 사이트는 730건으로 전월(865건)대비 21% 감소했다”고 전했다.

 
주요 월간 악성코드 유포지에 대해서도 “5월 주요 유포 사이트는 총 289건이 발견됐으며 이중 한국은 140건으로 조사됐다. 매주 평균 72.7건의 유포 사이트가 발견됐다"고 밝히고 "주요 감염 취약점은 새롭게 CVE-2013-2423,1493,1347이 등장했으며 기존 활발했던 레드킷 또한 다시 등장했다. 국내에서는 현재 공다팩(GongDa Pack)을 이용한 취약점이 80% 이상을 차지해 여전히 높은 점유율을 보이고 있다”고 밝혔다.
 
빛스캔 측은 “지속적인 유포지 및 경유지 침해사고가 발생할 경우에는 웹사이트 취약점을 분석해 해결해야 한다. 또한 웹사이트 내에 웹쉘, 루트킷과 같이 악성코드가 숨겨져 있을 수 있어 추가적인 보안 대책이 필요하다”고 권고했다.
 
보다 자세한 내용은 빛스캔 5월 월간 보고서에서 확인할 수 있으며 5월 보고서는 데일리시큐 자료실에서도 다운로드 가능하다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com