2012년도와 2013년도 국내 웹사이트를 통해 유포된 악성링크를 비교해 본 결과, 2012년도에 비해 2013년도에 더 많은 악성링크 유포가 발생한 것으로 조사됐으며 특히 올해 1월 초, 3월 중순, 6월초, 9월 중순, 11월 하순 등에 상대적으로 높은 수치가 관찰됐다. 이유는 당시 관련된 다양한 사이버 위협 이슈가 발생했기 때문이다.

 
웹보안 전문기업 빛스캔(대표 문일준)은 2013년도에 발생한 주요 이슈를 △제로데이를 활용한 APT 공격 △파밍 등 금융 공격 △3.20 사이버테러 △6.25 사이버워 △웹 위협의 고조( 추석 전후, 11월 말 전후) 등 5가지로 정의했다.
 
빛스캔 측은 2013년 연례 보고서를 발표하면서 “제로데이는 공격에 활용 가능한 취약점이 널리 공개된 반면에 이에 대한 패치 등 대응책이 없는 상황을 말한다. 지난 2012년 12월 크리스마스 전후에 발생한 IE 제로데이(CVE-2012-4792)와 2013년 1월 11일 JAVA 제로데이(CVE-2013-0422)는 해외보다 더 빨리 국내에서 발견 및 유행됨에 따라 PC 사용자의 피해가 상당했다”고 평했다.
 
또 “2012년도 금융을 노린 공격은 대부분 게임 계정 등 사이버 머니를 훔치는 방향으로 진행됐지만, 2012년도 하반기 아이템 거래 제한에 관련된 법률이 제정됨에 따라 급격하게 방향을 선회했다”며 “2013년 1월 하순 국내에서 정상적인 금융 웹사이트처럼 만든 가짜 사이트에 접속하게 해 공인인증서나 비밀번호 나아가 금전을 훔치기 위한 파밍공격이 출현했다. 이후 금융 및 관련 당국의 대응에 따라 꾸준히 다양한 파밍 공격이 발생했으며, 현재에도 진행 중”이라고 말했다.
 
이 기업 문일준 대표는 “지난 3월 20일에는 방송사 및 은행을 노린 사이버테러가 발생했다. 당사에서는 이미 3월 15일, 위험에 대한 경고를 예고한 바 있다. 3.20 사이버테러 발생 후 마무리되는 26일까지 수백여 종의 악성코드 파일, C&C 정보 등을 수차례 공개해 기업 및 기관이 추가적인 테러 위협으로부터 대응할 수 있도록 조치했다”고 말했다.
 
또 “6.25 사이버워의 경우 3.20 사이버테러보다 더 오랫동안 준비해왔다는 것이 당사의 분석으로 5월 24일부터 이러한 조짐이 나타났었으며, 사건 당일인 6월 25일까지 7차에 걸쳐 관련 정보를 제공했다”고 전했다.
 
한편 “11월 하순, 지난 3.20 사이버테러와 같이 방송사 및 다수의 P2P가 악성코드에 유포되는 현상이 포착되었으며 이를 바탕으로 위협 수준을 4단계인 경고로 올리고, 관련 정보를 2차에 걸려 고객사, 뉴스레터 구독자 그리고 CONCERT 회원사에게 배포한 바 있다”고 덧붙였다.
 
이 기업 전상훈 이사는 “내부망에 대한 공격에는 웹을 통한 감염과 이메일을 통한 감염이 일반적이라고 할 수 있다. 올해는 웹을 통한 악성코드 유포(Drive-by-download)가 널리 확산된 해로 기록되고 있다. 2회에 걸친 사이버테러와 금융 관련된 공격으로 인해 사실상 대응에는 역부족인 상태로 판단된다”며 “대응방안이 부족한 제로데이 공격코드의 빠른 이용과 특정 계층이 이용하는 웹서비스를 통한 유포(워터링홀)도 이미 관찰된 바가 있는 상태로, 향후 기업과 같은 특정 대상을 목표로하는 공격도 일반화될 것으로 예상된다. 특히 3.20 사이버테러에서 관찰되듯이 기업과 기관에서도 내부망에 감염되는 악성코드에 대해 적극적인 대응 방안을 수립하지 않는다면 문제는 계속될 것”이라고 예상했다.
 
전 이사는 “문제의 핵심은 실시간 연결이 필요한 웹을 통한 감염을 어떻게 제어할 것인가 이며, 실시간으로 연결이 필요치 않은 메일을 통한 감염에 대해서는 일정 수준에 도달한 대응 방안들로 충분히 통제가 가능할 것으로 보인다. 지금 관찰된 문제의 핵심은 인터넷을 사용해야 한다면 필연적으로 발생하는 웹을 통한 악성코드 감염의 통제가 이루어져야 한다”고 강조했다.
 
빛스캔은 보고서를 통해, 2014년도 또한 웹을 통한 대량 감염 형태의 공격이 계속 발생될 것으로 보고 있다. 그러나 올해 발견된 여러 문제들에 대해 근본 원인과 꾸준한 관리방안들에 대한 충분한 검토와 이에 따른 탄탄한 대응책을 준비하지 않는다면 여전히 암울한 한해가 될 것으로 예상했다.

이 기업은 지난 3년간, 국내 180만개, 해외 30만여 개의 웹 서비스에 대해 상시적인 악성코드 유포를 모니터링하고 있으며 유포 현황 및 통계, 악성바이너리, 익스플로잇, C&C 정보 등을 정/동적으로 체계적으로 분석하는 사전위협 탐지 체계(PCDS)를 자체 개발해 운영하고 있다. 이러한 정보를 토대로 매주 수요일 한 주간의 공격과 위협, 공격코드의 구성과 악성파일의 유형, 자주 이용되는 취약성에 대해서 보고서 형태로 정보를 제공하고 있으며, 악성링크를 전문으로 차단하는 장비로 실시간 제공되어 웹을 통한 감염을 사전 차단하고 있다.

빛스캔 2013 연례 보고서는 데일리시큐 자료실에서도 다운로드 가능하다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com