전 분기 비해 3.9% 감소...하루 평균 442만개 수준

‘계정 절취’용 트로이목마 위협 가장 커...트래픽 소모용도 절반

[보안뉴스 온기홍=중국 베이징] 중국에서 올해 들어 1분기 중 PC를 겨냥한 악성 프로그램 수량은 전 분기에 소폭 줄어든 것으로 나타났다. 악성 프로그램 가운데 사용자의 계정을 훔치는 트로이목마의 위협이 가장 큰 것으로 밝혀졌다.

중국 유명 온라인 보안솔루션회사인 치후360의 인터넷안전센터가 최근 발표한 ‘제1분기 중국 PC 인터넷 안전보고’에 따르면, 1분기 중 탐지한 새로운 악성 프로그램 수량은 3억9,800만 개에 달했다.

이는 전년 같은 기간의 3억5,200만 개에 비해 13.2% 늘었으나 전 분기인 2012년 제4분기의 4억1,400만개에 견줘서는 3.9% 줄어든 규모다. 지난 1분기 중 하루 평균 탐지된 새로운 악성 프로그램은 442만6,000개였다.

월별 수량을 보면, 새로 늘어난 악성 프로그램은 1월 1억6,000만여 개(2012년 1분기 1억2,000만 개), 2월 1억여 개(1억3,000만 개), 3월 1억3,000만여 개(1억 개)였다. 2월에는 전년 같은 기간에 비해 3,000만여 개 적었다.

또한, 360 인터넷안전센터가 1분기 중 집계한 악성 프로그램에 대한 클라우드 탐지·차단 횟수는 연 76억4,000만회에 달했다. 지난해 같은 기간의 48억8,000만회에 비해 56.6% 급증했지만, 지난해 4분기의 211억회에 비해서는 63.8% 급감했다. 매일 평균 악성 프로그램의 공격 8,490만여회를 차단한 셈이다.

지난 1월 중 탐지·차단량은 35억9,000만회로 전년 1월에 23억3,000만회 급증했다. 2월에는 17억9,000만회로 전년 동기 보다 1억1,000만회 늘었으며, 3월에는 22억6,000만회로 전년 동기 대비 3억2,500만회 증가했다.

치후360은 “올해 1분기 중 새로 늘어난 악성 프로그램의 수량과 클라우드 탐지·차단량을 볼 때 악성 프로그램 증가 추세는 이전에 비해 완만해 졌다”고 설명했다. 이어 360 인터넷안전센터가 지난 1분기 중 클라우드 탐지·차단량을 기준으로 뽑은 상위 20위의 악성 프로그램 가운데 절반은 ‘계정 절취’와 ‘트래픽 증가’ 목적의 트로이목마였다. 

▲ 2013년 제1분기 중국내 악성 프로그램 클라우드 탐지·차단량 톱20

톱20 악성 프로그램의 특징을 보면, 먼저 웜 바이러스는 수위를 차지했다는 점이다. 다른 악성 프로그램과 달리, 웜 바이러스는 지속적으로 하드웨어의 각 디렉토리에서 복제를 진행한다. 따라서 컴퓨터가 이 바이러스에 감염되면 수십 개에서 백 개 이상의 바이러스가 검출될 수 있다.

웜 바이러스에 대한 차단량은 다른 악성 프로그램들에 비해 월등히 많다. 다만 실제 피해를 입은 사용자 수는 많은 편은 아니라고 치후360은 설명했다. 두 번째 특징으로 계정 절취를 노린 트로이목마는 사용자에 대한 직접적 위협이 가장 컸다.

톱20 중 30% 가량인 6종은 계정 절취나 사용자 정보 절취를 노린 트로이목마였다. 순위는 2위, 7위, 9위, 14위, 18위, 19위를 각각 기록했다. 이는 계정 절취의 트로이목마가 최근 여전히 활발하게 움직이고 있다는 점을 보여주고 있다.

셋째, 트래픽 소모를 노린 트로이목마가 톱20의 절반 가까이를 차지했다. 사전 내장한 광고를 띄우고 트래픽을 소모시키며 웹사이트를 확산시키는 악성 프로그램은 4종(4위, 5위, 8위, 15위)에 달했다. 최근 ‘Incapsula’가 발표한 보고에 따르면, 악성 프로그램이 만든 트래픽이 전체 인터넷 트래픽에서 차지하는 비율은 31%에 달했다.

이들 악성 프로그램은 사용자의 컴퓨터를 사전 지정한 웹사이트나 웹페이지 광고를 방문케 조정함으로써 해당 웹사이트나 광고의 방문량을 늘린다. 이를 통해 웹사이트 개발자는 상업적 이익을 얻게 된다.

치후360은 “트로이목마를 이용해 허위의 높은 웹사이트 트래픽이나 광고 클릭량을 편취하는 것은 많은 중소 웹사이트와 개인 웹사이트들의 운영 규칙이다”며 “심지어 일부 웹사이트 경우 클릭량의 80% 이상은 각종 트래픽 소모 목적의 트로이목마가 발생시킨 것이다”고 설명했다.

이번에 클라우드 탐지·차단량 기준 8위에 오른 ‘Trojan.Win32.StartPage’의 경우 사용자 PC 브라우저의 홈페이지를 변조한다. 이와 관련, 최근 들어 트로이목마들은 브라우저 홈페이지를 악의적으로 소형 ‘웹 주소 안내’류 웹사이트로 탈바꿈시키고 있으며, 사용자 수가 1,000만 명 규모의 웹 주소 안내류 웹사이트는 이런 방식을 통해 마케팅을 벌이고 있다고 치후360은 설명했다.

이에 따라 트로이목마에 공격을 당한 웹 주소 안내류 페이지에는 많은 피싱 링크와 사기성 광고들이 숨어 있으며, 이 때문에 안전성을 보장하기 어렵다는 지적이다.

넷째, 6위에 오른 ‘Dropper.Win32.Agent’는 중국에서 인기 있는 한국산 온라인게임 ‘던전앤파이터’(DNF)에서 악성 매크로 프로그램과 트로이목마를 묶어 함께 실행시킨다. 따라서 게이머는 게임 매크로를 사용하는 동시에 트로이목마에 감염된다.

치후360은 “많은 게이머들은 단지 매크로 프로그램만 보안 프로그램에 의해 신고될 수 있다고 잘못 알고 있고 종종 보안 프로그램의 위험 경고를 무시하고 있다”며 “이들 악성 프로그램을 수동으로 통과시킬 경우 컴퓨터 안전에 심각한 위협을 가하게 된다”고 경고했다.

다섯째, 피싱 트로이목마가 빠르게 늘어나고 있다. 11위에 오른 ‘Trojan.Win32.IELinck’은 전형적인 피싱 트로이목마로 사용자가 웹페이지를 둘러 볼 때 특정한 웹사이트 주소를 피싱 사이트로 끌어 들여 사용자에 대해 사기 행위를 벌인다.

이들 트로이목마는 대부분 온라인 쇼핑을 노리고 있는데, 사용자가 방문하려는 정식 온라인 쇼핑 사이트를 피싱 사이트로 탈바꿈시킨다. 이에 따라 사용자가 피싱 사이트에서 쇼핑을 하게 되면 재산 손실 피해를 입게 된다. 지난 3월 들어 피싱 트로이목마 중 온라인쇼핑 겨냥 트로이목마가 매우 빠르게 증가했다고 치후360은 밝혔다.

[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>