올해 악성 멀웨어 종류 및 움직임을 분석한 지데이터 보고서
우크라이나·러시아 내전이 사이버전으로까지 퍼졌다는 증거

[보안뉴스 주소형] 네트워크 보안솔루션 기업인 지데이터 시큐리티 랩스(G-data Security Labs)가 올해 악성 멀웨어들의 움직임을 조사한 보고서를 발표했다. 일단 눈에 띄는 점은 올해 300만 개 이상의 새로운 악성 멀웨어가 탄생했고 우크라이나가 전 세계 악성서버 호스트국 5대 천왕에 이름을 올렸다는 것이다.


올해 상반기 가장 왕성한 활동을 한 멀웨어의 종류는 뱅킹 트로이목마이며 가장 빠르게 늘어나고 있는 멀웨어는 의료관련 웹사이트에서의 에드웨어로 나타났다. 의료 및 건강관리 사이트로 인해 멀웨어가 감염되는 경우가 무려 도박 사이트들보다 높았다. 전체 악성 사이트 시장에서 이들의 점유율은 26.6%나 되는 것으로 드러났다.

게다가 해커들 사이에서 의료 관련 정보의 가치가 높다는 인식이 깔리면서 이를 노리는 이들이 늘어났다고 보고서는 분석했다. 특히 최근 의료정보를 탈취하면 돈이 하늘에서 떨어지는 광고가 퍼지고 있는데, 이를 대중들도 쉽게 접근할 수 있는 유튜브(Youtube)를 통해서까지 볼 수 있게 되어 더욱 의료정보를 노리는 이들이 많아지고 있다고 우려했다.

우크라이나가 악성 서버 보유국 5대 천왕에 들었지만 여전히 부동의 1위는 미국(43.3%)며 그 뒤를 중국(9.5%)과 프랑스(8.2%)가 쫒고 있다고 보고서는 설명했다.

그 외에는 지난해와 비교했을 때 큰 변화는 없다. 다만 앞서 언급했지만 올해 가장 큰 변화는 바로 우크라이나의 존재감이다. 우크라이나의 경우 지난해 악성 서버 상위 10개국 안에도 들지 않았던 국가다. 하지만 올해 갑자기 5위권 안에 진입한 것. “정치적인 요소와 관련이 있을 것으로 보인다. 특히 올해 우크라이나는 러시아와 갈등이 극에 치달았는데 이로 인한 결과라는 것이 중론이다.”

2012년부터 지속적으로 최고 활발한 멀웨어로 꼽히는 뱅킹 트로이목마는 올해도 바쁜 한 해를 보이고 있다고 연구원들을 밝혔다. 먼저 종류별로 움직임을 살펴보면, 3월부터 팀바(Timba), 보트랙(Vawtrak), 베블로(Bebloh)의 수가 감소했다. 고지(Gozi)의 수는 약간 증가했다. 올해 현재까지 가장 주목받고 있는 뱅킹 트로이목마는 ‘스와트뱅커(Swatbanker)’다. 이는 지난 6월 중순경부터 활동을 개시했는데 독일의회를 타깃으로 폭발적인 활동을 하고 있다. 얼마나 본격적인가 하면 다른 모든 뱅킹 트로이목마들의 수보다 스와트뱅커의 수가 더 많은 정도다.

은행 가운데 가장 다양한 트로이목마의 타깃을 받은 곳은 웰스파고(Wells Fargo) 은행으로 드러났다. 보고서에 따르면 웰스파고에 대한 공격률은 35.28%다. 홍콩상하이은행(HSBC)과 로이드은행(Lloyds Banking Group)이 그 뒤를 이었다.

익스플로잇 키트(Exploit kit) 중에서는 앵글러(Angler)로 집계됐다. 연구원들은 만약 플래시 제로데이 CVE-2015-0311까지 합산하면 오는 1월 21일 경, 앵글러의 공격 수는 역대 최고로 기록될 것으로 내다봤다.

플래시 취약점이 올해 전체 익스플로잇 키트 시장을 장악했다고 해도 과언이 아니라고 연구원들은 입을 모았다. 반면 자바(Java) 익스플로잇의 활동은 눈에 띄게 줄었다고 설명했다. “자바 익스플로잇의 수는 앞으로 계속 감소할 것으로 예상된다. 브라우저의 보안기능이 갈수록 높아지고 있어 자바로 공격하기에는 역부족이기 때문이다. 플래시 공격 또한 브라우저에 클릭투플레이(Click-to-play) 통제 기능을 도입되면 점점 줄어들 것이다.”


Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>