국내 악성코드, 기업 홈피에서 뿌리고 온라인광고가 전파하고...
제휴광고 및 호스팅 사업자도 정보보호 안전진단 받아야

[보안뉴스 오병민] 국내 100대 사이트에서 유포된 악성코드의 현황을 분석한 결과, 악성코드는 주로 온라인광고 서비스를 거쳐 기업 홈페이지에서 다운로드 되고 있는 것으로 파악됐다.

악성코드 공격자들은 수사기관과 보안관련 기관의 추적을 피하기 위해 호스팅서버와 중개하는 서버를 따로 이용하고 있다. 호스팅 서버는 악성코드를 다운로드하는 역할을 담당하고 있으며, 중개 서버는 사용자가 호스트 서버에 접속하도록 중개하는 역할을 담당하는 것.

이에 따라 본지는 국내 주요 사이트의 악성코드 유포현황을 파악하기 위해 랭키닷컴이 공개하고 있는 국내 방문자 순위 100대 사이트를 대상으로 악성코드 호스팅 서버와 중개 서버의 IP를 수집해 분석했다. IP 수집은 구글이 지원하고 있는 스톱배드웨어(Stopbadware)의 정보를 활용했다.

 

조사결과 악성코드 호스팅 서버의 54.61%(83개 IP)는 국내에 있는 것으로 파악됐다. 그리고 23.03%(35개 IP)를 차지한 중국과 17.11%(26개 IP)를 차지한 미국이 뒤를 이었다.

 

 

국내 악성코드 호스팅 서버의 유형으로는 기업이 36.25%(29개 IP), 온라인 광고가 22.50%(18개 IP), 개발 서버가 17.50%(14개 IP)를 차지해 가장 위험한 분야로 파악됐다. 여기서 주목해야할 점은 외부에 공개되지 않은 개발 서버와 기업 인트라넷 IP도 악성코드 호스팅에 이용되는 것으로 확인돼 홈페이지 구축이나 서비스 개발 이후에도 보안 관리가 절실한 것으로 나타났다.

즉, 기업들은 홈페이지와 서비스 개발에만 급급할 뿐 개발 서버나 테스트 서버 등 활용도가 적어진 서버들에 대한 관리는 소홀히 하고 있는 것. 이에 대해 보안전문가들은 이용하지 않거나 관리가 되지 않는 서버는 과감하게 없애는 것이 보안을 강화하는데 도움이 될 것이라고 조언한다.

유형	퍼센트	발견된 IP
기업	36.25	29
온라인광고	22.50	18
개발	17.50	14
학회	6.25	5
개인	3.75	3
언론	3.75	3
서비스	3.75	3
호스팅	2.50	2
커뮤니티	1.25	1
대학	1.25	1
기업인트라넷	1.25	1
합계	100%	80

이번 조사에 따르면, 악성코드를 중개한 사이트는 거의 대부분 국내 사이트로 파악됐다. 특히, 인터넷 언론이나 블로그에 삽입된 온라인제휴 광고가 35.21%(50개 IP)로 가장 많이 발견됐으며, 호스팅 서버(16.20%, 23개 IP)와 이미지 호스팅 서버(5.63%, 8개 IP)도 적지 않았다.

 

호스팅 서버와 이미지 서버의 IP가 많이 발견된 이유는 온라인 쇼핑몰의 오픈마켓에 입주한 사업자들이 제품의 이미지를 업로드하는데 호스팅 서버와 이미지 서버를 주로 이용하고 있기 때문으로 분석되고 있다.

유형	퍼센트	발견된 IP
온라인광고	35.21	50
호스팅	16.20	23
SNS서비스	9.15	13
기업홈페이지	8.45	12
언론	5.63	8
이미지호스팅	5.63	8
학회	3.52	5
블로그	2.82	4
개인	2.11	3
페이스북	2.11	3
중국	1.41	2
미국	1.41	2
커뮤니티	1.41	2
포털	1.41	2
협회	1.41	2
교회	0.70	1
행사	0.70	1
부동산	0.70	1
합계	100%	142

이와 관련 보안업계의 한 전문가는 “온라인 뉴스의 제휴광고 비율이 늘어나고 개인 사용자들의 블로그나 쇼핑몰 운영이 늘어나면서 온라인제휴 광고나 호스팅 서버를 이용하는 비율이 늘어난 만큼 이를 노린 해킹공격도 크게 증가하고 있다”면서 “그럼에도 불구하고 제휴광고 사업자나 호스팅 사업자는 정보보호 안전진단 대상에 포함돼 있지 않고 자발적인 보안투자에 한계가 있는 만큼 정부당국의 관심이 요구되고 있다”고 지적했다.

 

▲조사대상 : 랭키닷컴 2012년 3월 27일자 100대 사이트

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>