국가인터넷응급센터, 12월 보안 취약점 2,947건 처리
“4,898개 사이트에 백도어 투입...위조 피해 웹사이트 1만 5,710개”

[보안뉴스 온기홍=중국 베이징] 지난해 12월 중국에서 백도어가 투입된 웹사이트 4,898개가 발견됐으며, 중국 내 웹사이트 6,981개가 변조 피해를 입은 것으로 드러났다. 중국 당국이 12월 중 공식 평가해 공개한 정보보안 취약점은 690개였으며, 이 가운데 ‘고위험’급 취약점은 거의 절반에 달한 것으로 나타났다. 또한, 지난해 12월 중국에서 인터넷 바이러스에 감염된 컴퓨터는 227만 대에 가까웠으며, 중국 내 웹사이트를 겨냥한 위조 웹페이지는 1만5,710개에 달했다.

中 국가인터넷응급센터 “12월 보안취약점 2,947건 처리”
중국 정부 산하 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 국가인터넷응급센터)는 자체 모니터링 데이터와 회원사들이 제공한 데이터를 바탕으로 지난 12월 중국 인터넷이 직면한 각종 보안 위협을 분석한 결과, 전체적인 인터넷 보안 위협 상황은 ‘양호’했다고 지난 3일 밝혔다.

센터는 “중국의 기초 네트워크 운행은 전체적으로 안정적이었고, 인터넷 백본망의 각항 모니터링 지표는 정상이었다”며 “성급 행정 구역 이상에서 비교적 영향이 큰 기초 네트워크 운행 사고가 일어나지 않았고, 큰 네트워크 보안 사건이 발생하지 않았다”고 밝혔다. 하지만 인터넷 인프라를 겨냥한 트래픽이 많지 않은 디도스 사건이 일정 수량 발생했다고 센터는 덧붙였다.

국가인터넷응급센터는 지난 12월 정부 기관·은행·민간 항공사 등의 중요한 정보시스템 및 통신·미디어·공공위생·교육 관련 분야의 보안 취약점 2,947건을 협조 처리했다. 정부 및 금융 분야 웹사이트는 지속적으로 불법 단체들의 주요 공격 목표였으며, 보안 취약점이 주요 원인이었다고 센터는 지적했다.

이들 사건 대부분은 웹사이트 프로그램에 SQL 주입, 취약한 암호, 권한 우회 따위의 취약점이 존재한 것으로 밝혀졌다. 또한 일부의 경우, 정보시스템이 채택한 애플리케이션 SW에 취약점이 존재해, 백그라운드 시스템 관리 권한 획득, 정보 유출, 악의적 파일 업로드 등의 위험을 초래할 수 있다. 심할 경우 본체가 불법 조직에 의해 원격 제어되는 위험을 초래할 수 있다.

국가인터넷응급센터, 12월 보안사건 1만6,954건 신고 접수...웹페이지 위조 가장 많아
국가인터넷응급센터는 12월 국내외에서 전자우편, 전화, 웹사이트, 팩스 등을 통해 온라인 1만6,954건의 보안사건 신고를 접수했다고 밝혔다. 전월에 비해 5.4% 늘었다. 이 가운데 해외에서 온 사건 보고는 22건이었다. 가장 많은 비중을 차지한 사건 유형은 ‘웹페이지 위조’류로 1만1,084건이었다. 취약점류 사건은 2,767건으로 뒤를 이었다.

아울러 센터는 텐센트(텅쉰), 360, 바이두 등 중국내 유명 인터넷 업체들과 함께 컴퓨터 내 트로이목마 투입 사이트, 모바일 악성 전파 주소, 피싱 사이트 등 악성 ‘블랙 리스트’에 포함된 웹주소에 대해 차단 또는 공개 조치를 취했다. 블랙 리스트에 속한 웹주소는 최근 4만7,061개에 달했다. 이외에 중국인터넷협회 스팸메일접수처리신고센터의 집계 결과, 12월 접수한 스팸 메일 사건 신고 건수는 9,899건으로 전월에 비해 15.2% 늘었다.

”정보보안 취약점 690개 공식 등록...고위험급 취약점 335개
국가인터넷응급센터는 12월 한 달 동안 보안·협력사, 개인(화이트 해커) 등이 국가정보보안취약점공유플랫폼(이하 CNVD)에 보고한 사건형 취약점 위주의 보안 취약점들을 종합 평가해, 최종적으로 690개를 뽑아 등록했다고 밝혔다. 이 중 ‘고위험’ 취약점은 335개로 전월에 비해 46.9% 증가했다. 원격 공격 실시에 이용될 수 있는 취약점은 627개로 7.5% 늘었다. 센터의 코드 검증 결과, 12월에 93개의 제로데이 취약점이 출현했다. 취약점들을 영향 대상에 따라 나눠 보면, 애플리케이션 프로그램 취약점, 운영체제 취약점, 웹(Web) 애플리케이션 취약점 순으로 많았다.

변조 피해 웹사이트 6,981개...정부류 사이트 145개 피해
국가인터넷응급센터가 발표한 통계에 따르면, 지난 12월 중국 내에서 변조 피해를 입은 웹사이트는 6,981개였다. 전월과 견줘 12% 줄었다. 지역별로는 베이징시, 광동성, 허난성 순으로 많았다. 이들 웹사이트의 유형을 보면, ‘.COM’ 도메인 네임류 웹사이트가 가장 많았고, 상업류 웹사이트가 뒤를 이었다. 정부와 관련된 ‘GOV’ 도메인 네임류 웹사이트는 145개가 변조 피해를 입었다. 전월(142개)에 비해 2.1% 늘었으며, 중국 내 전체 변조 피해 웹사이트 중 점유율은 1.8%(11월)에서 2.1%로 올랐다.

백도어 투입 웹사이트 4,898개
지난 12월 중국 내에서 백도어가 투입된 웹사이트는 4,898개에 달했다. 11월에 비해 50% 감소했다. 베이징시, 광동성, 장쑤성 순으로 많았다. 유형별로는 ‘.COM’ 도메인류 사이트가 가장 많았고, 상업류 사이트가 두 번째로 많았다. 정부 관련 ‘.GOV’ 도메인류 사이트는 226개로 한 달 전(330개)에 비해 31.5% 줄었다. 전체 백도어 투입 사이트 중 점유율은 3.4%(11월)에서 4.5%로 상승했다.

해외 2,371개 IP 주소는 백도어 삽입을 통해 중국 내 3,830개 웹사이트를 겨냥해서 원격 제어를 실시했으며, 해외 IP 주소는 미국, 홍콩, 러시아 등지에 많았다고 센터는 주장했다. 미국 소재 IP 주소는 중국 내 656개 웹사이트를 겨냥해 백도어 프로그램을 투입해, 침입 사이트 수량이 가장 많았다. 이어 우크라이나와 홍콩의 IP 주소는 각각 중국 대륙 내 355개, 302개 웹사이트에 대해 백도어 프로그램을 투입했다고 센터는 밝혔다.

위조 피해 웹사이트 1만5,710개
지난 12월 센터가 탐지한 중국 내 웹사이트에 대한 위조 웹페이지 수량은 1만5,710개에 달했다. 11월(1만6,009개)에 비해 1.9% 줄었다. 이들과 관련된 도메인 네임은 1만3,231개였고, IP 주소는 3,319개였다. 평균 1개 IP 주소 당 5개의 위조 웹페이지를 갖고 있는 셈이다. 이들 3,319개 IP 가운데 88.9%는 홍콩과 미국 등 국외에 소재한 것으로 파악됐다고 센터는 밝혔다. 이들 위조 웹페이지의 대다수는 중국 금융 기관(회사)와 유명한 사회 기관을 사칭한 것들이었다.

트로이목마·봇넷·콘피커 웜 동향
국가인터넷응급센터의 모니터링 결과, 12월 중 중국 내에서 약 151만개 IP 주소에 대응하는 본체가 트로이목마 또는 봇(bot)의 통제를 받는 것으로 드러났다. 지역 별 감염 수량 상위 3개 지역은 광동성, 장쑤성, 산동성 순이었다.

트로이목마 또는 봇넷이 제어한 서버 IP는 8,310개로 파악됐다. 그 중 중국 내 트로이목마 혹은 봇넷이 제어한 서버 IP 수량은 3,877개였다. 지역별로는 광동성, 장쑤성, 베이징시 순으로 많았다. 해외의 트로이목마 또는 봇넷이 제어한 서버 IP는 4,433개였으며, 미국, 홍콩, 아일랜드 순으로 분포돼 있었다고 센터는 주장했다. 이 가운데 홍콩에 소재한 서버는 중국 내 39만8,580개의 본체 IP를 제어해, 중국 내 본체 IP 제어 수량이 가장 많았다. 이어 한국과 네덜란드에 소재한 IP 주소가 각각 24만2,420개, 5만9,999개로 뒤를 이었다고 센터는 밝혔다.

센터는 모니터링 결과, 12월 중 전 세계에서 528만 개에 가까운 본체 IP 주소가 콘피커(Conficker) 웜(Worm)에 감염된 것을 확인했다고 밝혔다. 감염 수량 상위 1~3위는 중국, 인도, 러시아 순이었다. 중국 내에서 콘피커 웜에 감염된 본체 IP는 약 76만 개였다. 전월의 79만개에 비해 4.3% 줄었다. 광동성, 저쟝성, 장쑤성 순으로 많았다.

트로이목마 투입 사이트 관련 도메인과 IP ‘톱10’
국가인터넷응급센터는 12월 중 활동이 활발했던 트로이목마 투입 사이트 도메인과 트로이목마 투입 사이트 IP ‘톱10’을 공개했다. 센터는 “보안취약점이 존재하는 본체가 해커에 의해 트로이목마가 투입된 웹사이트를 방문할 경우, 그 뒤 여러 차례 이동을 거쳐 해커가 최종적으로 ‘트로이목마를 투입한’ 사이트에 연결돼 인터넷 바이러스를 내려 받게된다”고 설명했다.


센터는 “온라인 바이러스는 전파 과정에서 종종 해커가 등록한 많은 도메인 네임을 이용하게 된다”며, 12월 중 탐지한 트로이목마 투입 사이트 중에서 도메인을 통한 방문과 관련 있는 도메인은 250개였으며, IP를 통한 직접 방문과 관련 있는 IP는 65개였다고 밝혔다. 이들 트로이목마 투입 사이트 250개 가운데 중국 내 등록된 도메인은 140개로 전체의 56%에 달했으며, 해외에 등록된 도메인 수는 100개(40%)였다. 나머지 10개(4%)는 등록상 소속지역 정보를 알 수 없다고 센터는 덧붙였다.

모바일 인터넷 관련 악성 프로그램 감염 단말기 739만명
국가인터넷응급센터의 모니터링 결과, 12월 중 중국에서 모바일 인터넷을 겨냥한 악성 프로그램에 감염 피해를 입은 사람은 738만8,198명에 달했다. 북부의 샨시성, 광동성, 산동성 순으로 감염량이 많았다. 악성 프로그램의 누계 전파 횟수는 연 404만회에 가까웠다. 센터가 애플리케이션(앱) 스토어 온라인 모니터링 플랫폼(https://appstore.anva.org.cn)을 통해 17개 스마트폰 앱 스토어의 6만4,319개의 앱을 표본 검사한 결과, 16개 앱에서 악성 프로그램이 발견됐고, 16개 앱에 다운로드 링크가 포함됐다고 밝혔다.

12월 인터넷 바이러스 감염 단말기 227만대
지난 12월 중국 내에서 인터넷 바이러스에 감염된 컴퓨터 본체는 227만 대에 가까웠다. 전월에 비해 40.3% 감소했다. 이 중 약 151만개 IP 주소와 연결된 본체는 트로이목마 또는 봇(bot)의 통제를 받고 있는 것으로 드러났다. 이는 한 달 전의 301만 개에 비해 약 49.8% 줄어든 규모다.

이 기간 탐지된 새 인터넷 바이러스 파일 중에서 인터넷 바이러스 명칭을 기준으로는 25개가 새로 늘었다. 전월에 비해 25% 증가했다. 인터넷 바이러스 패밀리는 9개가 새로 늘어, 전월에 비해 125% 급증했다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>