국가인터넷응급센터 “2월 온라인보안 사건 8,034건 접수...7,632건 처리”
3월 넷째 주 변조 피해 웹사이트 4,160개...백도어 투입 웹사이트 1,949개

[보안뉴스 온기홍= 중국 베이징] 중국 정부 산하 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 국가인터넷응급센터)는 지난 2월 한 달 동안 중국에서 인터넷 바이러스에 감염된 기기가 194만여 대(전월보다 34.4% 감소)였다고 2일 밝혔다.

이 가운데 중국 내 135만여 개 IP 주소와 연결된 기기는 트로이목마 또는 봇(bot)의 통제를 받은 것으로 나타났다. 전월(216만개)보다 37.2% 하락했다. 광동성, 산동성, 장쑤성 순으로 트로이목마 또는 봇(bot)에 감염돼 제어를 받은 기기들이 많았다. 지난 2월 중 트로이목마 또는 봇이 제어한 서버 IP 수는 총 9,296개였다고 센터는 밝혔다. 이 중 중국 내 트로이목마 또는 봇이 제어한 서버 IP 수량은 3,827개였다. 광동성, 장쑤성, 베이징시 순으로 많았다.


이어 국외 트로이목마 또는 봇이 제어한 서버 IP 수량은 5,469개로 미국, 일본, 한국 순으로 많았다고 센터는 밝혔다. 미국 소재 서버는 중국 내 30만2,147개의 본체 IP를 제어했다고 센터는 주장했다. 이어 한국 소재 IP 주소 8만2,972개, 호주 소재 IP 주소 6만9,870개가 중국 내 본체 IP를 각각 제어했다고 센터는 덧붙였다. 또한 2월 중 중국 내 59만개 IP와 연결된 기기들이 콘피커 웜(Conficker Worm)에 감염됐다. 1월의 90여만 개보다 26.8% 줄었다. 광동성, 장쑤성, 저쟝성 순으로 전국 1~3위를 기록했다.

中 2월 변조 피해 웹사이트 5,744개...백도어 투입 웹사이트 4,298개
중국에서 2월 중 변조 피해를 입은 웹사이트는 5,744개로 전 달보다 9.7% 줄었다. 광동성, 베이징시, 푸젠성 순으로 변조 피해 웹사이트가 많았다. 변조 피해를 입은 중국 정부 웹사이트(.gov.추 또는 .gov.)는 87개였다. 전 월의 112개보다 22.3% 줄었다. 전체 변조 피해 웹사이트 중 비중은 전월(1.8%)에서 1.5% 하락했다.

백도어가 투입된 웹사이트는 4,298개로 월간 49.6% 줄었다. 광동성, 베이징시, 장쑤성 순으로 피해 웹사이트 비율이 높았다. 백도어가 투입된 중국 정부 웹사이트 123개로 전월(335개)보다 63.3% 늘었으며, 전체 백도어 피해 웹사이트 중 비중은 1월 말 4.0%에서 2.9%로 하락했다.

중국 내 웹사이트를 가장한 웹페이지는 7,481개로 49.9% 급감했다. 이들 웹페이지와 관련 도메인은 6,723개, IP 주소는 1,201개로 밝혀졌다. 평균 1개 IP 주소에 6개의 위조 웹페이지가 연결됐다. 이들 1,201개 IP 중 92.2%는 홍콩과 미국에 있는 것으로 드러났다고 센터는 주장했다.

중국 내 웹사이트를 겨냥한 웹페이지는 7,481개로 전 월(1만4,938개)보다 49.9% 급감했다. 이들 대다수 위조 웹페이지는 중국 금융 기업과 유명 SNS를 사칭한 것들이었다. 센터가 국가정보보안취약점공유플랫폼(이하 CNVD)을 통해 보안업체들과 협력사, 개인(화이트해커) 등으로부터 사건형 취약점 보고를 접수 받아 최종 확인한 정보 시스템 보안 취약점은 559개였다. 전 월보다 17.6% 줄었다. 이 가운데 ‘고위험’ 취약점은 160개로 월간 5.9% 줄었다. 원격 공격에 이용될 수 있는 취약점은 491개(14.8% 감소)였다.

국가인터넷응급센터는 “정부 웹사이트와 금융 업종 웹사이트는 불법 세력 공격의 중점 목표였다”며 “보안 취약점은 중요 인터넷 정보 시스템이 공격을 받는 주요 원인이었다”고 설명했다.

中 국가인터넷응급센터 “2월에 온라인 보안사건 8,034건 접수...7,632건 처리”
센터는 2월 중 국내외로부터 전자우편·핫라인전화·웹사이트 제출∙팩스 등을 통해 접수한 온라인 보안 사건은 8,034건이었다고 밝혔다. 전월보다 41.2% 증가했다. 외국에서 센터 쪽에 신고한 보안 사건은 11건이었다. 사건 유형별로 보면, 웹페이지 위조류 사건이 3,342건으로 가장 많았고, 취약점류 사건은 1,968건이었다. 웹페이지 변조 사건이 뒤를 이었다.

이에 대해 센터는 전국 각 지역의 CNCERT 센터와 협력해 7,632건의 온라인 보안 사건을 처리했다고 밝혔다. 이런 가운데 중국인터넷협회 산하 스팸메일신고접수센터는 2월 한 달 동안 총 4,980건의 스팸 메일 사건 신고를 접수했다고 밝혔다. 월간 36.9% 늘었다.

국가인터넷응급센터는 “2월 중 기간 네트워크 운행은 전체적으로 안정적이었으며, 인터넷 백본망의 각 부문 모니터링 지표는 정상적이었고, 비교적 큰 온라인 보안 사건은 일어나지 않았다”고 밝혔다. 이 기간 중국 정부 기관, 은행, 항공사 등 중요 정보 시스템과 통신, 미디어, 공공위생, 교육 관련 업종의 보안 취약점 사건 대다수는 웹사이트 프로그램에 SQL 주입, 취약한 암호, 권한 우회 따위의 취약점 때문에 일어났다고 센터는 지적했다.

또한, 정보 시스템이 채택한 애플리케이션에 취약점이 존재해 백그라운드에서 시스템 권한 획득, 정보 유출, 악의적 파일 업로드 따위를 비롯해 본체가 불법세력에 의해 원격 통제될 수 있는 위험에 놓이기도 했다고 센터는 덧붙였다.

中 정부 “‘인터넷 보안 위협 관리 행동’ 성과 뚜렷해”
국가인터넷응급센터는 2월 26일 중국인터넷협회(네트워크·정보보안업무위원회)와 함께 ‘중국 인터넷 네트워크 보안위협관리연맹’ 창립을 발표했다. 1차로 90개 기업들이 연맹 가입을 신청했다. 센터는 이른바 ‘인터넷 검은 산업’은 중국 인터넷의 정상적이고 질서 있는 운행을 해치는 중요한 원인 가운데 하나라고 지적했다.

대표적으로 도박이나 사설 서버 등 웹사이트 링크는 정부 웹사이트 또는 유명 웹사이트에 몰래 링크를 심어서 웹사이트 검색 순위를 높이고 있다. 이와 함께 디도스(DDoS) 공격을 통해 경쟁자(업체)에 온라인 공격을 가해 네트워크가 정상적으로 서비스를 제공할 수 없게 만들고 있다.

이에 맞서 국가인터넷응급센터가 주도해 지난해 7월 31일부터 벌여온 ‘인터넷 보안위협 관리행동’은 디도스 공격, 웹페이지 변조 등 인터넷 ‘검은 산업’과 밀접하게 관련 있는 사건을 중점 처리해 왔다.

이 ‘행동’ 기간 누리꾼들이 센터 쪽에 신고한 온라인 보안 사건은 10만9,972건에 달했다. 센터가 처리한 사건은 7만1,220건이었다. 디도스 공격 사건 횟수는 ‘인터넷 보안위협 관리행동’ 개시 전 하루 평균 1,491건에서 지난 2월 현재 265건으로 줄었다. 82.2% 급감했다고 센터는 밝혔다. 변조 피해를 입은 웹사이트는 21.4% 감소했고, 이 중 변조 피해를 입은 정부 웹사이트 수량은 ‘행동’ 개시 이전과 이후를 비교해 56.2% 하락했다.

中 “3월 넷째 주 인터넷 바이러스 감염 기기 76만여 대”
국가인터넷응급센터는 3월 넷째 주(21일~27일) 중국에서 인터넷 바이러스에 감염된 기기가 76만2,000대였다고 2일 밝혔다. 이 가운데 트로이목마 또는 봇에 감염된 기기들은 50만3,000대였다. 한 주 전보다 0.4% 줄었다. 콘피커 웜에 감염 피해를 입은 기기들은 25만9,000대로 2.8% 감소했다.


트로이목마 또는 봇의 통제를 받은 기기의 지역별 분포를 보면, 장쑤성, 광동성, 산동성 순으로 전국 1~3위를 차지했다. 경제가 발달하고 인터넷과 스마트폰 보급률이 높은 동부 연안에 자리 잡은 지역들이다.

장쑤성에서는 지난달 21일~27일 약 7만5,000대가 감염 피해를 입었으며, 전국 감염량의 14.9%를 차지했다. 광동성은 4만8,000대가 감염돼 9.5%의 점유율을 보였다. 산동성은 3만8,000대가 감염 피해를 입어 7.5%를 차지하면서 3위를 기록했다.

인터넷 바이러스 전파 근원지로는 트로이목마가 투입된 사이트가 첫 손가락에 꼽혔다. 트로이목마 투입 사이트와 관련된 도메인 네임은 135개가 탐지됐고, IP 주소는 370개가 발견됐다. 전체 135개 도메인 가운데 41.5%는 외국에 등록된 것이라고 센터는 밝혔다. 중국 내 등록된 도메인의 비중은 55.6%였고, 등록지를 알 수 없는 도메인은 3%였다.

전체 도메인 중 ‘.com’은 67.4%를 차지해 가장 많았다. 이어 ‘.net’이 14.8%, ‘.cn’이 10.4%의 점유율을 각각 보였다. 트로이목마 투입 사이트와 관련된 전체 370개 IP 가운데 9.28%는 외국에 등록된 것이라고 센터는 밝혔다.

中 3월 넷째 주 변조 피해 웹사이트 4,160개...백도어 투입 웹사이트 1,949개
국가인터넷응급센터가 중국에서 지난달 21일~27일 탐지한 변조 피해 웹사이트는 4,160개였다. 전 주에 비해 10.64% 늘었다. 백도어가 투입된 중국 내 웹사이트 수량은 1,949개로 3.4% 증가했다. 중국 내 웹사이트를 겨냥해 위조된 웹페이지는 4,211개가 탐지돼, 1.3% 늘었다. 위조 웹페이지 수량은 6주 연속 증가했다. 이 가운데 변조 피해를 입은 중국 정부 웹사이트(gov류)는 69개로 중국 내 전체의 1.7%를 차지했다.


한 주 전보다 11.3% 상승했다. 백도어가 삽입된 정부 웹사이트는 88개로 전체의 4.5%에 달했다. 전 주에 비해 11.1% 줄었다. 중국 내 웹사이트를 겨냥해 위조한 웹페이지 관련 도메인 네임은 3,476개, IP 주소는 1,092개였다. 평균 1개 IP 주소에 4개의 위조 웹페이지가 연결된 것으로 나타났다.

인터넷응급센터 “3월 넷째 주 정보보안 사건 2,891건 처리”
국가인터넷응급센터는 지난달 21일~27일 중국 내 3개 통신서비스업체, 도메인 등록서비스 기관, 모바일 애플리케이션 스토어, 전국 센터 지사, 국제 협력 조직과 공동으로 2,891건의 온라인 보안 사건을 처리했다고 밝혔다. 전 주에 비해 458건 줄었다. 2주 연속 감소했다. 이 가운데 국경을 넘어 이뤄진 정보보안 사건은 1,054건으로 파악됐다. 센터가 해외 기관과 협조해 처리한 중국 내 보안 신고 사건은 1,038건(139건 감소), 중국 내 기관과 공동 처리한 외국 현지 신고 사건은 16건(10건 증가)이었다.


정보보안 사건의 유형을 보면, 웹페이지 위조 사칭이 2,793건으로 전체의 96.6%를 차지해 가장 많았다. 이밖에 취약점(점유율 2.2%), 웹페이지 변조(0.9%), 웹사이트 백도어(0.2%), 악성 프로그램(0.1%) 사건 등이 일어났다. 웹페이지 위조 사칭의 대상으로는 은행이 2,469건으로 가장 많았다. 인터넷서비스 제공업체를 사칭한 사건은 307건이었다.

이어 미디어(6건), 증권(3건), 정부 공익(3건), 교육 훈련(1건) 등을 사칭한 웹페이지들도 적발했다. 센터는 이 기간 31개 모바일 애플리케이션 스토어 및 악성 프로그램 삽입 도메인과 협력해 모바일 인터넷 악성코드를 퍼뜨리는 악성 URL 링크 189개(46개 증가)를 찾아내 처리했다고 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>