• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2014년 국내 웹사이트 휩쓴 악성코드들 2014.12.04

드라이브 바이 다운로드 방식 73%, 금융정보 유출 악성코드

CKVIP, 공다 악성코드 제작자와 동일해 중국 소행 추정


[보안뉴스 김경애] 우리나라 전체 인구 가운데 약 4천만 명 가량인 82.1%가 인터넷을 사용하지만 웹사이트는 취약하고, 보안 대응은 미흡해 피해가 확산되고 있다. 기업의 사이트 관리 미흡과 이용자의 낮은 보안인식으로 갈수록 고도화되고 있는 사이버범죄에 속수무책으로 당하고 있는 것이다.


게다가 웹사이트를 통한 악성코드 유포는 갈수록 기승을 부리고 있으며, 금융정보 탈취 목적의 악성코드와 원격제어용 에이전트가 다수 유포되고 있다. 특히 보안이 취약한 PC의 경우, 웹사이트 방문만으로 악성코드에 감염되기 때문에 이용자들의 각별한 주의가 요구되는 상황이다.


이에 본지는 제1회 SCH사이버보안연구센터컨퍼런스에서 발표한 악성코드 분석 전문가를 통해 최근 문제가 되고 있는 악성코드 동향과 특성에 대해 들어봤다.


금융정보 유출 악성코드 가장 많아

김종기 연구원- 먼저 악성코드 유포방식은 저장매체, 메신저와 소셜네트워크, 이메일에 첨부된 문서 취약점, 설치파일 변조, 드라이브 바이 다운로드(Drive-by-Download) 방식 등으로 구분되는데요.


그중 드라이브 바이 다운로드는 보안 취약점을 이용해 불특정 다수에게 악성코드를 유포하는 방식 중 하나죠. 웹주소에 접속해 악성코드를 다운로드하고 실행시키는데 웹사이트 방문만으로 악성코드에 감염됩니다.


이는 사용자도 모르게 PC에 악성코드가 설치되어 불특정 다수를 감염시켜 피해가 확산될 수밖에 없어요. 물론 파급력도 강하죠.


특히 올해 기승을 부린 드라이브 바이 다운로드 방식 악성코드 중에는 금융정보와 같은 정보유출 악성코드가 73%로 가장 높게 차지했어요. 다음 순으로는 원격제어 관련 악성코드가 14%로 뒤를 잇고 있죠. 그만큼 불특정 다수를 노린 금융정보 탈취 목적의 악성코드가 심각한 상황입니다.

게다가 난독화로 코드 읽기와 분석을 어렵게 해 추적을 지연시키고 있으며, 탐지를 피하기 위해 경유 사이트를 다수 추가하는 것이 특징입니다. 이는 나아가 사물인터넷 시대의 보안위협과 직결될 수 있어 매우 위험해요. 이미 전기주전자나 다리미, 전자담배에서 소형칩이 발견됐는데 와이파이를 공격해서 정보유출과 스팸을 전송한 사건이 발생하기도 했어요.

 

CKVIP 익스플로잇 킷, 중국 소행 추정 

양정인 연구원- 익스플로잇 킷(Exploit Kit)은 악성코드를 감염시킬 때 쓰는 공격 도구에요. 공격코드를 자동 생성해 악성코드를 다운로드하는 주소로 안내하죠.


국내에 유포된 익스플로잇 킷을 분석해보면 익스플로잇 킷 구조나 난독화가 각각 다르고, 종류마다 이름과 특징, 유포방식이 다양해요. 그중 CKVIP 익스플로잇 킷은 2012년에 발견됐고, 현재 국내에서 가장 활발하게 유포되고 있는 익스플로잇 킷 중 하나에요.

주로 자바(JAVA), 플래쉬(FLASH), IE 등 취약점을 이용해 악성코드를 유포하죠. 악성URL 패턴을 살펴보면 웹페이지 주소와 악성코드명, 실행을 입력합니다.


특히 CKVIP 익스플로잇 킷을 분석한 결과, 악성코드 제작자를 식별할 수 있는 주석이 있는 게 특징인데요. 중국 통계 사이트인 카운트 페이지에서 발견된 악성코드와 동일하며, 공다(Gong Da) 익스플로잇 킷과도 매우 유사해요. 따라서 중국내 동일한 악성코드 제작자로 추정됩니다.


Angler 익스플로잇 킷, 국내 동영상 타깃

반면 해외에서 올해 4월부터 기승을 부리고 있는 Angler 익스플로잇 킷은 최근 들어 국내에도 유포되고 있는데요. 실버라이트(Silverlight), 어도비 플래시(Adobe Flash), 자바 취약점을 이용해요. 특히 실버라이트는 MS사에서 만든 플러그인으로 인터넷 어플리케이션 마켓에서 점유율이 높은 편입니다. 국내에서는 동영상 서비스를 하고 있는 EBS나 아프리카 TV에서 이용하고 있죠.


Angler 익스플로잇 킷은 많은 리다이렉션(Redirection)을 거친 후 랜딩페이지로 연결해요. 특별한 식별이나 고정된 문자열, 일정한 구조 등 패턴이 없어요. 현재도 활발한 업데이트를 하고 있죠.


하지만 이러한 상황에도 불구하고 국내 웹사이트 관리는 허술하기만 하다. 최근에는 텔레뱅킹 사태로까지 확산되고 있어 피해는 고스란히 사이트를 방문해 감염되는 이용자 몫이 되고 있다.


언제까지 당할 것인가?

그렇다면 언제까지 웹사이트 취약성을 방관 또는 방치할 것인가? 이와 관련 한국인터넷진흥원 박상환 팀장은 기술적인 측면에서의 악성코드 대응전략으로  PC, 스마트폰, IoT 기기 에 △최신 버전 백신프로그램 탑재 △자동분석도구 통해 유사 악성코드 특징 등 추출 △악성코드 특징 정보 DB화해 APT 공격조직 프로파일링 △취약점 악용하는 악성코드 행위 탐지 및 차단 프로그램 개발 등이 이루어져야 한다고 제시했다.


이와 관련 박 팀장은 “전 세계는 지금 보안 취약점과 전쟁 중”이라며 “국내도 취약점을 대응할 수 있는 기술개발이 시급하며, 제도적으로는 버그 바운티 프로그램 운영 확대 등 좀더 체계적으로 대응해야 한다”고 강조했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>