트로이목마, ‘IE 브라우저·자바’ 취약점 이용해 집중 침입

[보안뉴스 온기홍=중국 베이징] 지난해 중국에서 트로이목마가 침입한 웹사이트가 전년에 비해 50% 가량 급증한 것으로 밝혀졌다. 트로이목마는 IE와 자바(Java) 취약점을 집중 공략해 웹사이트에 침입했다.

중국의 유명 정보보안 업체인 루이싱정보기술은 최근 발표한 ‘2012년 중국 정보보안 종합 보고’(이하 보고)에서 지난해 1월~12월 자사가 중국 대륙에서 탐지한 트로이목마 침입·내장 웹사이트가 516만 개(웹페이지 개수로 통계)에 달했다고 밝혔다. 이는 전년에 비해 48.7% 급증한 규모다.

또한 지난해 중국에서 탐지된 신규 컴퓨터 바이러스 수(1,181만 여종) 가운데 트로이목마가 886만 종으로 75%의 비중을 차지할 정도로 크게 증가한 것과도 관련이 있다.

이 회사는 “트로이목마 침입·내장 웹사이트가 형식이 단일하고 기술의 진전도 거의 없었기 때문에 지난해에는 몇 년 전 폭증했던 것과 같은 상황은 나타나지 않았다”고 밝혔다. 이 회사는 이어 “반(反) 트로이목마 기술이 성숙해지고 있기 때문에 트로이목마가 내장된 웹사이트의 공격 중 다수는 성공적으로 차단되고 있다”고 설명했다.

루이싱은 또 지난해 12개월 동안 중국에서 자체 탐지해 차단한 트로이목마 내장 웹사이트의 공격 횟수는 총 5,097만 회였다고 밝혔다. 이 가운데 상반기에는 1,986만 회, 하반기에는 3,111만 회였다.

월별 공격 차단 횟수를 보면, 지난해 1월부터 6월까지 매달 400만 회를 넘지 않았으나, 7월에 800만 회 가량으로 크게 치솟으면서 연중 최고치를 기록했다. 이어 8월에는 공격 차단 횟수가 소폭 하락했지만 700만 회에 달하면서 높은 수준이 지속됐다.

9월에는 450만 회를 넘으며 세 번째로 높았다. 10월부터는 300만 회 이하로 줄어들면서 상반기와 비슷한 수준을 보였다.

지난해 중국에서 트로이목마가 웹사이트에 침입하기 위해 악용한 취약점을 보면, 주로 IE 브라우저의 취약점을 집중 이용한 것으로 나타났다고 루이싱은 밝혔다.

지난 2011년에 IE와 플래쉬(Flash) 취약점이 각각 절반의 비중을 차지했던 상황과 비교해, 2012년에는 트로이목마가 내장된 웹사이트들이 악용한 플래쉬 취약점은 하락세를 보였다. 대신 자바 취약점이 지난해 해커의 새로운 ‘애용물’이 됐다고 루이싱은 설명했다.

◇ 2012년 중국내 트로이목마 이용 10대 취약점

1. CVE-2012-1889 IE 취약점

2. CVE-2012-1875 IE 취약점

3. CVE-2012-4969 IE 취약점

4. CVE-2012-0754 Flash 취약점

5. CVE-2012-0003 Windows Media Player 취약점

6. CVE-2012-4681 Java 취약점

7. CVE-2012-1723 Java 취약점

8. CVE-2012-0507 Java 취약점

9. CVE-2010-0806 IE 취약점

10. CVE-2006-003 IE 취약점

이 회사는 “지난해 트로이목마가 침입한 웹사이트들이 채택한 암호변경 기술은 이전과 비교해 그다지 큰 변화가 없었으며 앞으로 트로이목마 침입·내장 웹사이트의 수량은 완만한 증가세를 보일 것으로 예상된다”고 밝혔다.

이번 보고에 따르면, 지난해 중국에서 트로이목마의 주요 공격 목표가 된 웹사이트는 교육류 사이트였다. 지난해 1월~12월 중 트로이목마가 내장된 웹사이트를 보면, 중국의 많은 교육류 사이트와 공공 사업기관 사이트가 해커 공격과 함께 악성코드 침입을 당한 것으로 나타났다.

이런 원인은 무엇보다 이들 두 분야 웹사이트의 보안성이 취약한 때문이라고 루이싱은 지적했다. 이외에 중국 내 많은 불법 온라인게임의 선전용 웹 페이지들에도 내장식 악성코드가 들어 있는 상황을 보였다.

이는 웹사이트 보유자가 직접 넣은 악성코드일 가능성이 매우 높다고 루이싱은 분석했다.

[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>