2010년 12월 계정정보유출 악성코드 경유지 300% 증가

[보안뉴스 오병민] 2010년 12월 악성코드를 유포하거나 전달하는 좀비 사이트들이 300% 이상 증가한 것으로 파악됐다. 그리고 좀비 사이트들이 유포하는 악성코드 중 가장 많은 비율을 차지한 것은, 키보드 입력 값을 유출하거나 온라인게임 계정을 탈취하는 악성코드인 것으로 드러났다.

KISA 인터넷침해대응센터에서는 홈페이지를 악성코드 전파의 매개지로 악용하여 방문자에게 악성코드를 감염시키는 사례가 발생함에 따라 2005년 6월부터 지속 대응하고 있다.

 

2005년 12월부터는 사용자 피해신고 이전에 사전 탐지를 통한 능동적 대응을 위해 악성코드 은닉사이트 자동탐지시스템을 자체 개발·적용해 현재 약 100만개의 국내 주요 홈페이지를 대상으로 악성코드 은닉여부 탐지 및 차단 등 감염피해 예방활동을 수행하고 있다.

KISA 인터넷침해대응센터에서 분석한 자료에 따르면, 2010년 12월의 악성코드 경유지가 전 달(11월) 427개 보다 304%이상 증가한 1,725개가 적발됐다. 유포지 역시 전 달 89개 보다 20.2% 증가한 107개로 파악됐다. 악성코드 경유지는 실제 감염이 가능한 악성코드가 있는 유포지로 연결하게 하는 인터넷 사이트를 일컫는다.

이 기간 동안 신고 된 웜·바이러스를 명칭별로 분류한 결과, PC 사용자가 입력한 비밀번호와 같은  키보드 입력 값을 유출하는 악성코드로 알려진 ‘WINSOFT’가 전달에 비해 18.1% 증가한 241건으로 가장 많았고, 다음으로 특정 온라인게임의 계정을 탈취하는 것으로 알려진 ‘ONLINEGAMEHACK’이 234개로 2위를 차지한 것으로 파악됐다.

보안 업계의 한 전문가는 “크리스마스나 방학 등을 맞아 온라인 게임의 접속량의 증가하는 경향을 이용해 온라인 게임의 계정을 탈취하는 악성코드의 유포가 활발하게 이뤄진 것으로 파악된다”면서 “특히 중국을 기반으로 한 조직들이 개입했을 가능성도 적지 않다”고 말했다.  

중국의 조직적인 계정탈취는 게임 아이템 거래와 무관하지 않다. 아직까지 아이템 거래에 대한 정확한 집계는 없는 상황이지만 추산되는 시장규모는 1조 5천억 원을 훨씬 넘는 것으로 파악되고 있다. 따라서 악성코드로 탈취한 계정을 통해 습득한 아이템 및 사이버머니로 얻는 수익은 매우 클 것으로 예상되고 있다.

악성코드의 유포·중계지가 12월에 급격하게 증가한데는 또 다른 이유가 있다. 신대규 KISA 상황관제팀장은 “12월 갑자기 유포지와 중계지가 증가한 이유는 많은 중계지에 연결된 유포지를 찾았기 때문”이라면서 “이 유포지는 최근 나타는 주요 취약점으로 계정이 탈취된 사이트들을 중계지로 이용하고 있다”고 말했다.

특히 최근 공개된 웹 게시판 취약점들과 무관하지 않다고 설명한다. 이번에 발견된 중계지에는 제로보드 취약점이나 그누보드, 테크보드의 취약점을 악용한 사이트가 다수 포함돼 있었던 것으로 전해지고 있다.

신대규 팀장은 “악성코드 유포·경유지로 악용되지 않으려면, 각 기관(기업)의 웹 서버 관리자는 근본적인 원인파악 및 조치 없이 단순히 악성코드만 삭제하는 것은 임시조치일 뿐 언제든지 재 악용될 수 있음을 인지해야 한다”면서 “KISA에서 제작하여 보급하는 휘슬(ＷHISTL, 웹쉘 탐지 프로그램)과 캐슬(CASTLE, 홈페이지 보안성 강화도구) 적용 등을 통해 반드시 사전 점검 및 재발 방지 대책을 강구하여야 한다”고 조언했다.

그리고 그는 “사용자 입장에서도 백신설치와 최신 패치를 의무화하고 신뢰할 수 없는 사이트의 방문을 자제하는 등 기본적인 보안 활동에 신경을 써야한다”고 덧붙였다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>