패턴기반 웹사이트 탐지 한계...실시간 분석 통한 차단이 효과적

[보안뉴스 민세아] 최근 웹사이트에 악성코드 삽입과 리다이렉션 코드로 인한 변조가 활발해지면서 기존에 수집된 데이터만으로 웹사이트를 탐지하기가 더욱 힘들어지고 있다.

기존의 시그니처 기반 탐지 기법은 이미 발견되고 정립된 공격패턴에 대해서 효과적으로 탐지할 수 있지만, 알려지지 않거나 입력되지 않은 패턴에 대해서는 탐지할 수 없기 때문이다.

한국에서 지난 1월 간 좀비PC가 C&C(Command&Control) 웹사이트에 접속하는 트래픽(C2.Backchannel.Web)이 2014년 평균 8.5%에서 68.7%로 크게 증가한 것으로 웹센스 분석결과 드러났다. 이는 지난해 평균보다 60%나 증가한 수치다.

C&C 서버는 악성코드에 감염된 좀비PC가 추가적인 명령과 코드를 내려받기 위해 사용자 몰래 주기적으로 접속하는 서버(또는 웹사이트)다.

또한, 해커에 의해 악성코드가 숨겨진 웹사이트(Malicious.Web.Realtime)는 보안이 취약한 웹사이트 가운데 27.5%인 것으로 밝혀졌다. 악성코드는 보통 하루 이내에 삭제되지만 사용자가 웹사이트에 접속하는 것만으로도 감염될 수 있기 때문에 주요 위협 요인으로 지적됐다.

리다이렉션 코드로 인해 사용자가 원하는 웹사이트가 아닌 외부 웹서버로 연결되면서 자신도 모르게 악성코드가 다운로드 될 수도 있다. 한동안 특정 언론 사이트가 이 기법의 타깃이 되어 논란이 된 적이 있다.

해당 공격유형 모두 해커에 의해 악성코드와 리다이렉션 코드가 빈번하게 삽입·삭제되어 웹사이트의 상태가 실시간으로 변경되는 유형이다. 이 때문에 기존에 수집된 데이터를 통한 시그니처 기반(패턴 기반) 탐지가 아닌 실시간 웹사이트 분석을 통해서만 악성코드에 대한 효과적인 차단이 가능하다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>