악성코드 경유지, 유포지 보다 3배 많아

[보안뉴스 김지언] 한국인터넷진흥원(이하 KISA)는 악성코드 유포로 발생하는 보안 위협을 예방하기 위해 악성코드 유포 경로 분석 보고서를 발표했다.

보고서에 따르면 탐지된 악성코드 은닉사이트는 2012년 13,018건이었던 것에 비해 2013년에는 36% 증가한 17,750건으로 집계됐다. 이렇듯 매년 그 수치가 증가하고 있는 것으로 나타났다.

KISA가 이를 분석한 결과 악성코드 은닉 사이트는 경유지와 유포지로 구분되며 경유지는 유포지보다 3배 정도 많은 것으로 확인됐다.

 

경유지가 유포지보다 많이 탐지되는 이유는 공격자가 악성코드 대량 유포를 위해 유포지 하나에 다수의 경유지를 연결하기 때문인 것으로 분석된다.

특히 경유지는 1차경유지와 중간경유지로 구분되며, 동일한 중간경유지가 여러 악성코드 유포에 지속 악용되는 것으로 확인됐다.

 

공격자는 악성코드 유포를 위해 1차경유지에서는 중간경유지와 연결하는 역할을, 중간경유지에서는 사용자 PC에 존재하는 취약점을 체크하고 확인된 취약점을 이용해 악성코드 다운 및 실행시키는 역할을 하는데 사용했다.

이에 1차 경유지는 접속자가 많은 웹사이트 메인 페이지가 주로 악용되고, 중간경유지는 접속자 수와 상관없이 관리가 소홀한 웹사이트 하위 페이지가 주로 악용됐다.

 

관리가 소홀할 경우 보안 조치가 제대로 이뤄지지 않아 1차경유지들만 확보한다면 중간경유지를 지속적으로 악용할 수 있기 때문이다.

따라서 웹사이트 관리자, 보안업체, ISP 사업자 등은 1차경유지 뿐 만 아니라 중간경유지를 확인하고 공격자가 사전에 구성한 유포 경로에 대한 추적 및 조치가 필요하다.

이외 자세한 사항은 KISA 인터넷침해대응센터 홈페이지(http://www.krcert.or.kr/)에서 확인할 수 있다.

[용어정리]

은닉사이트 : 해킹을 당해 악성코드 자체 또는 악성코드를 유포하는 주소(URL)가 숨겨져 있어, 홈페이지에 방문한 PC를 악성코드에 감염시킬 수 있는 웹사이트

 

경유지 : 실제로 악성코드를 유포시키는 사이트로의 링크를 은닉하고 있어 이용자가 접속하면 링크를 타고 연결시켜주는 모든 웹사이트

 

유포지 : 홈페이지 방문자 PC에 직접적으로 악성코드를 유포하는 사이트

 

1차 경유지 : 이용자가 처음 접속 후, 악성코드를 유포시키는 사이트로 연결시켜주는 웹사이트

 

중간경유지 : 1차 경유지에서 유포지까지 연결되는 2차, 3차, 4차 악성코드 유포 웹사이트

[자료: 한국인터넷진흥원(KISA)]

 

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>