[보안뉴스 김경애] 악성코드에 이어 악성링크와 신규 악성링크가 증가추세를 보이고 있는 것으로 조사됐다.

5월 3주차 패턴 매칭으로는 탐지하기 어려운 형태인 단축 URL을 통해 유포한 정황이 포착되었다. 이로 인해 탐지는 더욱 어려워지고 있으며, 여전히 신규 악성링크가 각기 다른 악성링크를 삽입해 하나가 차단되더라도 다른 링크를 이용해 감염률을 높일 수 있도록 다양한 통로를 마련하고 있는 것으로 나타났다.

또한, 감염이후 C&C서버 및 접속자 통계 사이트로 연결되어 감염자 통계를 확인하기 위해서 이용된 도메인이 kbs xxx, imbcxxx xxx로 활용된 정황이 발견되었으며, 이는 지난 3.20 사이버테러 직전의 상황과 유사하다고 판단되어 평시에서 주의단계로 경보를 상향 조정한다고 밝혔다.

금주의 시간별 통계를 살펴보면, 신규 악성링크의 유포가 평일부터 주말까지 고르게 발생했고, 구체적인 시간대를 살펴봐도 새벽, 오전, 오후, 저녁을 가리지 않고 유포행위가 발생되었음을 알 수 있다.

특히, 매주 발견되는 신규 악성링크의 유포 행위는 꾸준히 변경되기 때문에 전체 범위를 모니터링하여 사전 탐지하지 않은 이상 기존 보안 솔루션으로는 예방 및 차단이 어려워지고 있는 상황이 지속되고 있는 것으로 나타났다 .

4월 2주차부터 5월 3주까지 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 203건(40.4%), 미국 131건(26.1%), 중국 1건(0.2%), 홍콩 131건(26.1%), 일본 19건(3.8%), 태국 11건(2.2%), 대만 6건(1.2%) 등으로 나타났다. 홍콩에 위치한 C클래스 대역을 지속적으로 활용하는 사례가 증가하고 있으며 잦은 파일 및 IP 변경을 통해 탐지를 회피하고 있다 .

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 38건(52.8%), 미국 4건(5.6%), 홍콩 18건(25.0%), 일본 7건(9.7%), 대만 5건(6.9%) 순으로 차지했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>