• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[中 인터넷 보안추세-2] 트로이목마·좀비감염 PC 890만대로 80% 급증 2012.03.29

웹사이트 변조 공격도 늘어...지난해 3만 6,612개 변조돼


[보안뉴스 온기홍=중국 베이징] 중국 정부는 지난해 외국 IP 주소를 통한 트로이목마와 ‘좀비’ 바이러스 공격이 늘어나는 등 외국으로부터 받은 웹사이트 공격과 위협이 증가했다고 주장했다.


중국정부 산하 국가인터넷응급센터(CNCERT)는 최근 발표한 ‘2011년 중국 인터넷 보안 태세 보고’에서 “지난해 전체적으로 변조된 웹사이트 수는 늘었다”며, “일반 사용자 정보 누출 사건을 비롯해 네티즌 이익과 밀접한 관련이 있는 보안사건들이 잇달아 일어나 국민들의 온라인 보안에 대한 관심이 고조됐다”고 밝혔다.


웹사이트 변조 공격 증가...이용자 정보 누출 잇달아 발생

CNCERT는 지난해 중국 웹사이트 보안 상황은 전체적으로 악화 추세를 보였다고 지적했다. CNCERT가 접수한 전체 온라인상 보안사건(취약점 미포함) 가운데 ‘웹사이트’ 관련 사건은 61.7%로 절반을 훨씬 넘었다.


중국에서 해커 공격에 의해 악의적으로 변조된 웹사이트의 수는 지난해 3만 6,612개를 기록해 2010년에 비해 5.1% 늘었다. 지난해 4월~12월 백도어 바이러스가 발견된 중국내 웹사이트의 수는 1만 2,513개였다. 중국 ‘국가 정보보안 취약점 공유플랫폼(CNVD)’에 접수된 취약점 가운데 ‘웹사이트’와 관련한 취약점은 22.7%를 차지해 2010년에 비해 큰 폭으로 증가하면서 한 단계 오른 2위를 차지했다.

다만 중국 정부의 홈페이지를 변조한 사건은 지난해 줄었다. CNCERT의 모니터링에 따르면, 지난해 외부 공격을 당해 변조된 중국 정부 웹사이트 수는 2,807개였다. 이는 2010년에 비해 39.4% 줄어든 규모다. CNCERT가 국무원 산하 부서의 웹사이트 보안 상황을 조사한 결과, 낮은 등급의 보안위험이 존재하는 비율은 2010년 60%에서 지난해 50%로 감소했다. 


지난해에는 웹사이트 이용자 정보와 데이터 유출사고도 잇따라 발생했다. 지난해 말 중국 최대 소프트웨어 개발자 커뮤니티인 ‘CSDN’과 대형 토론 사이트 ‘톈야’와 같은 유명 웹사이트에서 이용자 정보가 누출됐다. 당시 누출·공개된 데이터베이스는 26개였고, 계정과 비밀번호 정보와 관련된 것은 2억 7,800만 건이었다. 이와 관련 중국 일부 웹사이트에서는 여전히 이용자 정보가 암호화돼 저장되지 않고 있으며, 취약점에 대한 보완이 제때 이뤄지지 않아 보안 수준이 낮다고 CNCERT는 지적했다.

 중국내 해커 공격에 의해 변조된 ‘공안부 물증감정센터’ 웹사이트의 화면


“외국발 트로이목마·좀비 공격 늘어”

CNCERT는 중국이 지난해 외국으로부터 받은 웹사이트 공격과 위협은 증가세를 보였다고 밝혔다. CNCERT는 지난해 외국에서 트로이목마나 ‘좀비’ 바이러스를 퍼뜨리는 4만 7천개의 IP 주소가 중국내 컴퓨터를 원격 제어했다고 주장했다. 해당 IP 수량은 2010년의 22만 1천개에 비해 크게 감소했다.


하지만 지난해 트로이목마와 ‘좀비’ 바이러스에 감염된 중국내 컴퓨터는 890만 대로 2010년의 약 500만 개에 비해 78.5% 급증했다고 CNCERT는 밝혔다. 중국 컴퓨터 공격에 이용된 외국내 원격 제어 서버 IP 가운데 일본(22.8%), 미국(20.4%), 한국(7.1%)에 등록된 IP 수는 나란히 1~3위를 기록했다.


이중 미국에 근거지를 둔 원격 제어 IP 수는 2009년과 2010년 1위를 기록한 뒤 지난해 2위(9528개)로 내려갔지만, 지난해 미국 IP는 중국내 885만 대의 컴퓨터를 제어·감염시키면서 압도적으로 수위를 차지했다고 CNCERT는 주장했다. 중국 정부가 자국 내 인터넷 사이트를 공격하는 주범으로 미국을 꼽은 셈이다.


웹사이트 보안과 관련, CNCERT는 외국 거주 해커들이 지난해 중국내 1,116개 웹사이트의 홈페이지를 변조했다고 주장했다. 또한, 외국에 등록된 1만 1,861개의 IP는 ‘백도어’ 바이러스를 통해 중국내 1만 593개 웹사이트를 원격 제어했다고 덧붙였다. 이중 미국내 IP 3,328개(28.1%)는 중국 웹사이트 3437개를 제어해 점유율 1위를 차지했으며, 한국(8.0%), 나이지리아(5.8%)가 2,3위로 뒤를 이었다고 CNCERT는 밝혔다.

중국 국내 은행 웹사이트를 모조해 사칭한 서버 IP의 95.8%는 외국에 등록돼 있는 것으로 나타났다. 미국에 등록된 IP는 481개(72.1%)로 가장 많았으며 중국내 2943개 은행 홈페이지를 사칭했다. 홍콩(17.8%)과 한국(2.7%)이 2, 3위를 차지했다. CNCERT는 “전체적으로 지난해 미국, 일본, 한국에 근거지를 둔 악성 IP 주소의 중국에 대한 위협은 매우 심각한 수준이었다”고 주장했다.


중국 공업정보화부의 ‘인터넷보안정보통보’ 회원사가 보고한 데이터에 따르면, 지난해 중국에서 웹페이지 바이러스 침투, 온라인 피싱과 같은 불법행위에 이용된 악성 도메인 네임의 65%는 외국에 등록된 것이었다.


CNCERT는 “많은 해커들은 새로운 악성 프로그램을 만드는 동시에 외국에 등록된 도메인네임을 이용하고 도메인네임 IP를 자주 바꾸면서 보안 업체와 기관의 모니터링을 피하고 있다”고 분석했다.


한편, 지난해 중국내 890만여 대 컴퓨터를 감염시킨 트로이목마 가운데 ‘비밀 절취’류 트로이목마의 중국내 컴퓨터 IP 주소는 5만 6천여 개였다. 이는 정부와 기업, 네티즌의 정보보호 수준이 심각한 위협에 직면해 있다는 것을 보여준다고 CNCERT는 강조했다.

[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>