• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

아·태 지역이 멀웨어 감염 피해의 가장 큰 희생자!! 2010.10.18

트렌드마이크로, ‘2010 상반기 글로벌 위협 보고서’ 발표

새롭게 발생하는 고유한 멀웨어 샘플만 하루 평균 6만개가 넘어


[보안뉴스 김정완] 2010년 상반기에 유럽은 스팸의 엄청난 증가로 북미와 남미는 물론 한국을 포함한 아시아 태평양 지역을 제치고 ‘스팸 최다 생산 지역’이라는 타이틀을 얻게 됐다.

 

 

이와 같은 내용은 트렌드마이크로가 18일 발표한 ‘2010년 상반기 위협 보고서’에 다른 것이다.


이 보고서에 따르면, 스팸은 다소 감소 국면을 보이던 4월을 제외하곤 2010년 1월에서 6월 사이에 꾸준히 증가했다. 일반적인 예상과 달리 음란물은 전체 스팸의 4% 밖에 차지하지 않으며, 각종 광고, 신용 사기 및 건강·의료 분야가 전 세계 스팸의 65%를 차지했다. 그리고 스패머들이 가장 일반적으로 사용하는 기술은 HTML 스팸인 것으로 나타났다.


◇ 아·태 지역, 멀웨어 감염 피해의 가장 큰 희생자

악의적인 URL은 1월 15억 건에서 6월 35억 건 이상으로 늘어났다. 북미가 가장 악의적인 URL의 근원지였으며, 아시아 태평양 지역은 멀웨어 감염 피해의 가장 큰 희생자였다. 그리고 트렌드마이크로에서 가장 많이 차단했던 URL들은 성인 웹 사이트와 IFRAME 코드, TROJ_AGENT 및 JS_DLOADR.ATF 같은 악의적인 변종 코드를 호스트하는 사이트들이었다.


◇ 새롭게 발생하는 고유한 멀웨어 샘플만 하루 평균 6만개가 넘어

트렌드마이크로 위협 전문가들의 글로벌 네트워크인 트랜드랩(TrendLabs)은 매일 약 2십5만건의 샘플을 처리하고 있다. 최근 조사 결과 하루에 새롭게 발생하는 고유한 멀웨어 샘플 수는 6만개를 훨씬 넘는 것으로 나타났다.


그 중 트로이 목마가 트랜드랩에서 개발한 해결 방법이나 새로운 서명의 약 60%를 차지하였고, 6월 현재 전체 발견 멀웨어의 53%를 차지했다. 그리고 종종 크라임웨어 또는 데이터 절도 멀웨어로 정의되는 백도어 및 트로이 목마 스파이웨어가 각각 2위 및 3위를 차지했다.  그리고 대부분의 트로이 목마는 데이터 절도 멀웨어인 것으로 나타났다.


인도와 브라질은 멀웨어를 배포하고 각종 공격을 실행하며 스팸을 전송하기 위해 봇넷을 구축하는 사이버 범죄자들이 선택하는 도구인 봇에 감염된 컴퓨터가 가장 많은 나라로 조사됐다. 봇넷을 운영하는 사이버 범죄자들인 봇넷 헤더들은 컴퓨터 사용자로부터 훔친 돈으로 수백만 달러를 벌어들이고 있는 것으로 나타나기도 했다.


◇ 교육 분야가 각 업계의 멀웨어 감염 이끌어

각 업계의 멀웨어 감염에 관해 살펴보면, 교육 분야가 2010년 상반기를 이끌었던 것으로 나타났다. 모든 멀웨어 감염의 거의 50%가 IT 및 보안 전문가들이 보안 대책을 잘 따르지 않기가 쉬운 수많은 학생들을 지원하는 복잡하고 분산된 이기종 인프라의 보안이라는 문제를 겪는 학교 및 대학에서 일어난 것. 그 다음으로 정부 및 기술 분야가 뒤를 이었고, 각각 모든 멀웨어 감염의 10%를 차지했다.


◇ ZeuS 및 KOOBFACE가 가장 악명 높은 ‘상습범들’

보고서에 따르면 ZeuS 및 KOOBFACE가 2010년 상반기에 가장 큰 영향을 끼친 것으로 나타났다. 동유럽에서 조직된 범죄 네트워크가 개발한 ZeuS는 주로 사용자의 온라인 뱅킹 로그인 인증서 및 기타 개인 데이터를 훔치도록 고안된 크라임웨어 킷으로, 소기업과 은행이 주 대상이다. 현재 수많은 새 ZeuS 변종들이 매일같이 트렌드마이크로에 의해 발견되고 있으며, 당분간 이러한 추세에는 변화가 없을 것으로 보인다.


또한 KOOBFACE 봇넷은 가장 위험한 소셜 네트워킹 위협이라는 오명을 얻게 됐다. 올해 초 트랜드랩 전문가들은 KOOBFACE 갱이 지속적으로 자신들의 봇넷을 업데이트하고 있다고 지적한 것. 당시 이들은 봇넷의 구조를 바꾸고, 새로운 구성 요소 바이너리(파일)를 도입하며 봇넷의 기능을 다른 바이너리와 통합했다. 또한 보안 전문가 및 기관의 모니터링 및 삭제를 피하기 위해 C&C(command and control) 통신을 암호화하기 시작했다.


◇ 알려지지 않은 취약점, ‘드라이브 바이(Drive-by)’

2010년 상반기에 트렌드마이크로 보안 전문가는 총 2,552개의 CVE(공통적인 보안 취약점 및 노출)에 대한 보고서를 발표했고, 여기에는 각 업체 내부적으로 보고돼 외부에는 알려진 바가 없는 내용들도 포함돼 있다.


최종 사용자에게 있어 취약점은 방문자가 해당 웹 사이트를 신뢰할 때 발생하는 위협인 ‘드라이브 바이(Drive-by)’ 취약점 역시 그 중 하나다. 이 취약점은 멀웨어 감염에 필요한 행동은 오직 손상된 웹 사이트에 방문하는 것이 전부인데, 서버가 공격을 받고 사이버 범죄자들은 패치되지 않은 취약점을 악용한다. 이는 비록 하나의 사용자 시스템을 손상시키는 것보다는 더 어려울 수 있으나 사이버 범죄자들이 얻게 되는 결과는 훨씬 크다는 것이 트렌드마이크로의 의견이다.


한편 위협 보고서 전문과 기업 및 개인 고객이 스스로를 보호할 수 있는 방법에 관한 다양한 정보는 TrendWatch( http://kr.trendmicro.com/imperia/md/content/kr/trendwatch/researchandanalysis/tm

101hthreat_report.pdf )를 참조하면 된다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>