“1·29·300의 하인리히 법칙...국내 인터넷 환경에 그대로 적용돼” 

[보안뉴스 권 준] 최근 3.4 및 7.7 디도스 대란 때와 유사성을 지니는 다운로더 발견이 급증해 또 한 번의 사이버 대란이 발생할 가능성이 있는 것 아니냐는 우려가 제기되고 있다.

무엇보다 지금 현재 국내 인터넷 상황은 보험 분야의 유명한 법칙인 하인리히 법칙이 적용될 수 있다는 것. 하인리히 법칙은 한번의 대형사고가 나기 이전에 29번 이상의 경미한 사고와 300번 가량의 징후가 발견된다는 것으로, 1.25 인터넷 대란, 3.4 및 7.7 디도스 대란 등의 대형사고 전에는 반드시 징후가 있었는데, 현재 바로 그 징후들이 나타나고 있다는 얘기다.

이는 빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스인 ‘10월 2주차 국내 인터넷 환경의 위협분석’ 내용에 따른 것으로, 이번 보고서는 이 외에도 10월 2주차에 발견된 다양한 악성코드 유형과 침해실태 등을 구체적으로 담고 있다. 

이번 보고서에 따르면 8월 1주차에 발견됐던 sl.php 유형의 Mass SQL Injection 공격이 여전히 발생하고 있고, 악성코드 유포 시에는 자동화 툴킷이 주로 사용되고 있는 것으로 나타났다.

이와 관련 빛스캔의 전상훈 이사는 “지난 9월 말부터 10월 초순까지 중국의 최대명절인 중추절 연휴와 국경절 연휴가 맞물린 결과 연휴 막바지에 신규 악성링크가 국내 사이트에 대거 삽입됐다”며, “공격자들이 백신만 우회할 수 있도록 악성코드를 유포하는 바람에 목표량에 미달됐고, 이를 채우기 위해 주중에도 공격이 계속되는 상황이 발생했다”고 설명했다.

덧붙여 그는 “10월 2주 차에 발견된 최종 악성코드 중에는 V3나 구글 크롬 아이콘으로 위장한 형태가 발견됐다”며, “이러한 유형은 기업이나 백신 업체에 대한 신뢰를 이용해 사용자를 속이기 위한 기법들로 주의가 필요하다”고 당부했다.

또한, 10월 2주 차에는 지난 8월 3주차 때 대거 관찰된 바 있는 루트킷, 백도어 유형의 활동이 계속돼 감염된 좀비 PC들을 활용한 추가 공격이 발생할 수 있다고 빛스캔 측은 우려했다.

이와 함께 특정인이나 특정 회사 및 기관을 타깃으로 한 APT 형태의 악성코드 유포가 지속되면서 이를 바탕으로 사용자의 권한을 획득하고, 내부망을 스캔하며, 추가 코드 다운을 위한 다운로더가 다수 확인되는 등 위험이 확산되고 있는 것으로 분석됐다. 

특히, 다단계 악성코드 유포통로인 맬웨어넷(MalwareNet)이 8개 이상 활동하면서 루트킷 및 백도어의 유포 시도가 활발해지고 있고, 최초 악성링크 내에 추가적인 연결링크들을 갖춘 복합적인 형태의 악성링크 공격이 확대되고 있어 공격 탐지 및 추적에 어려움이 예상된다는 게 빛스캔 측의 설명이다. 

이 외에 10월 2주차에는 백신에 탐지되지 않는 다운로더 및 백도어 형태의 악성코드 유포가 지속되고 있고, 게임 계정 외에 문화상품권 및 게임머니 거래사이트에 대한 계정탈취형 악성코드도 지속적인 발생되는 것으로 나타나 각별한 주의가 요구된다.

한편, 주간 인터넷 위협분석 보고서는 빛스캔 PCDS(Pre Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서로 매주 수요일 발간돼 한 주간의 국내 인터넷의 실질적인 위협동향을 분석하고 대응방안 제시하고 있으며, 구독이나 기타 문의는 메일(info@bitscan.co.kr)로 하면 된다. 

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>