• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

블루코트, 2011년 상반기 웹 보안 동향 보고서 발표 2011.07.21

주요 10대 악성코드 전파 네트워크 발표


[보안뉴스 김태형] 세계적인 웹 보안 솔루션 및 WAN 최적화 기업인 블루코트 코리아(지사장 전수홍, www.bluecoat.co.kr)는 2011년도 상반기 주요 웹 기반 악성코드 생태계를 분석한 웹 보안 보고서를 발표했다.


이번 보고서는 악성코드를 유포하는 ‘주요 10대 악성코드 전파 네트워크’를 확인할 수 있는 것이 특징이다. 현재 악성코드를 유포하는 네트워크는 이미 다수의 사이트에 퍼져 사용자에게 매우 역동적인 공격을 가하고 있는데 이러한 공격을 막아내기 위해선 무엇보다 웹 생태계에 대한 포괄적인 시각과 더불어 악성코드 네트워크를 식별 및 추적하는 능력이 필요하다.


2011년 상반기 동안 파급 효과나 규모 면에서 단연 첫 번째로 꼽힌 악성코드 전파 네트워크는 Shnakule이었다. Shnakule은 하루 평균 2,000개의 호스트 네임을 가졌고 때로는 4,300개 이상의 호스트 네임을 가진 적도 있다. 또한 드라이브 바이 다운로드(Drive-by-downloads: 사용자 모르게 다운로드 되어 실행되는 악성 프로그램), 허위 안티 바이러스 및 코덱, 허위 플래시와 파이어폭스 업데이트, 허위 와레즈, 봇넷/커멘드 및 컨트롤 등의 악의적인 활동을 펼쳤고, 음란물, 도박, 제약, 링크 팜 그리고 재택 근무 사기와 같은 활동과도 연계했다.


Shnakule은 그 자체로 단독 악성코드 전파 네트워크였을 뿐 아니라, 대규모의 악성코드 전송컴포넌트를 포함하고 있었다. 특히 Ishabor, Kulerib, Rabricote, Albircpana 같은 상위 10위권의 악성코드 전송 네트워크들이 Shnakule의 컴포넌트였고, 도박 관련 맬웨어나 의심스런 링크 팜 등의 유해 활동으로 그 영역을 확장했다.


또한 보고서는 인터넷 상에서 사용자가 어떻게 악성코드전파 네트워크로 유입되는지 분석했는데 올해 상반기에 가장 대중적인 악성코드 감염 매개체는 검색 엔진 포이즈닝(SEP:Search Engine Poisoning)으로 나타났다. 무려 40%의 악성코드 전파가 검색 엔진과 포탈을 통해 이루어졌고 같은 기간 동안 가장 많은 웹 분석 요청을 받은 것으로 밝혀졌다. 소셜 네트워킹은 상위 다섯 번째의 악성코드 네트워크 엔트리 포인트였고, 세 번째로 많은 웹 분석 요청을 받은 것은 콘텐츠였다.


한편 사이버범죄자는 검색과 소셜 네트워킹 등 사용자가 가장 오래 머무르는 곳을 노림과 동시에 이메일과 성인물 등의 고전적인 방법도 병행해 사용하는 것으로 나타났다. 특히 이메일과 음란물은 웹 분석 카테고리에서 각각 상위 17, 20번째이었지만 사용자를 악성코드 네트워크로 불러들이기 위한 가장 전형적인 웹 콘텐츠 카데고리였다.



그 밖의 주요 보고서 내용은 다음과 같다.

·악성코드 호스팅은 온라인 스토리지나 소프트웨어 다운로드 같이 기업이 일반적으로 허용하는 카테고리 내에서 발견되었다.


·기업이 최상의 웹 보안 상태를 유지하게 위해서는 지속적으로 음란물 플레이스 홀더, 피싱, 해킹, 온라인 게임 등의 불법 혹은 의심 카테고리를 막아야 한다.


·이미지 검색이나 해적판 미디어는 악성코드전송 순위의 상위권을 차지했고 사용자는 이러한 활동에 주의를 기울여야 한다.


·방화벽이나 안티바이러스 등의 단일 방어 체계로는 역동적인 악성코드와 광범위한 인프라를 갖춘 악성 코드 전파 네트워크로부터 사용자를 보호하기엔 부족하다. 대신 클라우드 기반 웹 방어의 실시간 보호 능력 및 인텔리전스가 새로운 위협으로부터 비즈니스를 신속히 적용하여 안전하게 보호할 수 있다.


보고서의 모든 데이터는 클라우드 기반 협업 방어 서비스인 블루코트 웹펄스(Blue Coat WebPulse)를 바탕으로 해 블루코트 보안 연구소에 의해 분석되었다. 전세계 7천 5백만 이상의 사용자가 실시간 웹 방어를 위해 연결된 웹펄스는 매주 30억 개의 실시간 URL 요청을 분석하고 각 URL에 카테고리를 적용해 웹 생태계에 대한 포괄적인 시각을 제공한다. 이것을 바탕으로 웹펄스는 역동적인 악성코드와 새로운 위협으로부터 실시간 보호를 제공할 수 있다.


웹펄스는 시큐어 웹 게이트웨이와 블루코트 클라우드 서비스 등의 블루코트 웹 보안 제품에 온-디맨드 인텔리전스를 제공하며, 맬웨어 다운로드와 피싱, 스피어 피싱 공격, 봇넷에 감염된 시스템의 유해 트래픽으로부터 비즈니스를 보호한다.


블루코트 코리아의 전수홍 지사장은 “2011년 상반기 웹 보안 보고서를 통해 웹 기반 악성 코드가 얼마나 빠르게 지능화되고 있는지 다시 한번 확인할 수 있었다”라며, “블루코트는 웹 펄스의 실시간 URL 분석 능력과 실시간 악성코드 및 사이트 카테고리 분류 능력을 바탕으로 사용자 환경과 비즈니스 특성에 최적화된 포괄적인 웹 보안 솔루션을 제공할 것”이라 말했다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>