by sisw.com


전자신문(3/5일)

 지난달 웹사이트 2곳서 3만여대에 악성코드 유포 발견

 3시간 동안 국내 200만대 이상을 좀비PC로 만든 대규모 악성코드 유포 사례가 뒤늦게 밝혀졌다. 악성코드 유포 로그를 탐지한 사례 가운데 감염 건수가 국내 최대 규모로 추정된다.

KAIST 사이버보안연구센터(센터장 주대준)와 사이버보안 벤처기업 빛스캔(대표 문일준)은 지난달 11일 00시 23분부터 03시 24분까지 3시간 동안 인터넷매체사이트와 게임사이트 등 2개 웹사이트에서 방문한 5만6995대 PC 가운데 3만4112대 PC를 동시 감염시킨 악성코드 유포 건수를 발견했다고 4일 밝혔다.

당일 악성코드를 유포한 국내 웹사이트는 80여곳 이상으로 조사됐다. 실제 악성코드 로그 기록이 발견된 두 개 사이트에서 4만대 좀비 PC가 생성됐다면 전체 80여곳을 통해 같은 시간대 200만대 이상 좀비 PC가 감염된 것으로 분석된다. 로그기록이 발견된 사이트가 중소 규모 웹사이트라는 점을 감안하면 접속자가 많은 대규모 사이트에서 감염된 좀비 PC 숫자는 200만대를 훨씬 넘어설 수 있다.

실제 발견된 로그파일 사이즈는 55Mbps에 이르며, 총 로그 횟수는 27만384회에 달한다. 웹로그 27만여개 중 감염 비율이 60%를 넘는다. 전문가들은 단일 감염사례로서는 국내 최다 악성코드 발견 및 감염 사례라고 밝혔다.

PC 감염은 국내 개발 백신으로는 탐지가 불가능한 제로데이(Zero-day) 악성코드가 사용됐다. 공격 성공률이 60%를 넘어, 인터넷 웹사이트 취약성 및 사용자 PC 보안 강화 필요성이 크게 제기된다.

사이버보안연구센터 등은 웹서비스 상에서 악성링크 판별과 사용자 PC에 설치되는 악성코드 분석 진행과정에서 이를 찾아냈다. 올해 들어 악성코드 유포가 가장 심했던 지난달 11일 새벽 공격자가 생성한 로그를 발견했으며, 로그에는 유포 시간대 모든 사용자에 대한 기록이 저장돼 있는 것으로 분석됐다.

유포된 악성파일은 게임계정 탈취와 키보드 입력값을 탈취하는 `키로깅`을 목적으로 한다. 국내 주요 백신으로 탐지되지 않는 오라클 자바 취약성, 인터넷익스플로러(IE) 버전별 플래시 취약성, 윈도 미디어 플레이어 취약성 등이 활용됐다.

전문가들은 악성코드 피해를 막기 위해 MS워드·한글·어도비 등 소프트웨어(SW)를 사용할 경우 관련 보안 패치를 수시로 업데이트할 것을 주문한다. 웹사이트 관리자는 악성코드 유포처로 활용되지 않도록 사이트 취약성을 관리·보완하는 주의가 필요하다고 지적했다.

전상훈 KAIST 사이버보안연구센터 팀장은 “지난달 10일부터 12일까지 3일간은 최근 수년 동안 가장 대규모로 악성코드가 유포된 기간”이라며 “당시 발견된 악성코드 링크만 30여종 이상이며, 단일 악성코드가 50여곳 이상 웹서비스에서 중계되는 사례도 발견됐다”고 말했다. 전 팀장은 “이번에 웹을 통한 악성코드 유포 결과와 위험성에 대한 실제 데이터가 발견돼 국내 웹 유포 악성코드 상황이 심각하다는 것을 확인했다”며 “보다 선제적이면서 빠른 보안 조치가 필요하다”고 덧붙였다.

장윤정기자 linda@etnews.com


'Information Security > 네트워크 보안' 카테고리의 다른 글

3시간 만에 200만대가 좀비PC로  (0) 2012.03.05
Posted by EFP