인터넷응급센터 “트로이목마·봇·콘피커 웜 감염 피해 기기 수량 2주 연속 감소”
정보보안 사건 중 웹페이지 위조 90% 넘어...은행 사칭 다수

[보안뉴스 온기홍= 중국 베이징] 중국 정부 산하 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 인터넷응급센터)는 국경절 연휴가 포함된 10월 첫째 주(3일~9일) 중국에서 인터넷 바이러스에 감염된 기기가 49만 4,000대에 달한 것으로 확인됐다고 최근 밝혔다. 한 주 전에 비해 11.2% 감소한 수치다.

이 가운데 중국에서 트로이목마 또는 봇(bot)의 통제를 받은 기기들은 28만 4,000대로 전 주 대비 12.3% 줄었다. 콘피커 웜(conficker worm)에 감염 피해를 입은 기기들은 21만대로 9.7% 하락했다.

앞서 지난 9월 마지막 주(9월 26일~10월 2일) 한 주 동안 인터넷 바이러스에 감염된 기기 수량은 55만 6,000대로 한 주 사이 5.8% 줄었다. 이 중 트로이목마 또는 봇에 감염 피해를 입은 기기들은 32만 4,000대로 6.6% 줄었다. 콘피커 웜에 제어를 받은 기기들은 23만2,000대로 4.7% 감소했다.


트로이목마·봇 감염 피해, 광동성이 전국 1위 유지
지난 10월 첫째 주 중국에서 트로이목마와 봇의 통제를 받은 기기가 많은 지역을 보면, 광동성, 장쑤성, 허난성 순으로 전국 1~3위를 기록했다. 광동성에서는 3만 7,000대의 컴퓨터가 감염 피해를 입어 전국 감염량의 12.9%를 차지했다. 광동성은 수개월 째 전국 1위를 유지하고 있다. 장쑤성은 2만5,000대가 감염돼 전국 내 8.9%의 점유율을 보였다. 3위의 허난성은 2만3,000대가 감염 피해를 입어 8.1%의 비중을 기록했다.

한 주 전 9월 마지막 주에는 광동성, 푸젠성, 장쑤성 순으로 트로이목마와 봇의 통제를 받은 기기가 많았다. 광동성에서는 4만대의 컴퓨터가 감염돼 전국의 12.4%에 달했다. 푸젠성은 2만 9,000대가 감염 피해를 입어 8.9%를 차지했고, 장쑤성은 2만 6,000대가 감염돼 전국의 8.1%를 점유했다.

트로이목마 투입된 웹사이트 관련 도메인 중 외국 등록 도매인은 30% 넘어
트로이목마가 투입된 웹사이트는 바이러스의 주요 전파 근원지인 것으로 드러났으며, 10월 첫째 주 이들 웹사이트와 관련된 도메인은 116개가 탐지됐고, 관련 IP 주소는 366개가 발견됐다.

이들 116개 도메인 가운데 31.9%는 외국에 등록된 것으로 확인됐다고 센터는 밝혔다. 중국 내 등록된 도메인의 비중은 66.4%로 가장 많았다. 나머지 1.7%는 출처가 확인되지 않았다. 이들 도메인 가운데 ‘.com’은 65.5%를 차지해 가장 많았고, ‘.net‘이 20.7%, ‘.cn’이 8.6%의 점유율을 각각 기록했다. 트로이목마 투입 사이트와 관련된 전체 366개 IP 가운데 5.7%는 외국에 등록된 것으로 드러났다고 센터는 밝혔다.

인터넷응급센터는 지난 9월 마지막 주 트로이목마 투입 웹사이트와 관련된 도메인 128개를 탐지했고, 유관 IP 주소 397개를 확인했다. 전체 128개 도메인 중 35.9%는 외국에 등록됐으며, 중국내 등록 도메인의 비중은 61.7%에 달했다. 출처가 확인되지 않은 도메인은 2.3%였다. 전체 도메인 중 64.8%는 ‘.com’ 이었고, ‘.net‘이 18%, ‘.cn’이 10.2%의 비중을 각각 기록했다.

中 10월 첫째 주 위조 피해 웹페이지 764개...7.8% 늘어
인터넷응급센터는 국경절 연휴가 들었던 10월 첫째 주 중국 내에서 탐지한 변조 피해 웹사이트가 1,342개로 확인됐다고 밝혔다. 지난주에 비해 62.7% 줄었다. 백도어(Backdoor)가 투입된 중국 내 웹사이트도 1,264개가 확인돼 한 주 동안 8.6% 감소했다. 반면 중국 내 웹사이트를 겨냥해 위조된 웹페이지는 764개로 7.8% 늘어난 것으로 나타났다.

9월 마지막 주에는 변조 피해를 입은 웹사이트가 3,598개로 한 주 전보다 45.3% 증가했다. 백도어가 숨어있는 중국 내 웹사이트는 1,383개가 확인돼 4.1% 올랐다. 이에 반해 중국 내 웹사이트를 사칭한 웹페이지는 709개로 20.2% 감소한 것으로 확인됐다.


또한 10월 첫째 주 변조 피해를 입은 중국 정부 웹사이트(gov류)는 27개로 중국 내 전체의 2%를 차지했으며, 한 주 전에 비해 67.9% 줄었다. 백도어가 삽입된 정부 웹사이트는 36개로 전체의 2.8%에 달하며 한 주전과 비슷했다. 중국 내 웹사이트를 겨냥해 위조한 웹페이지 관련 도메인 네임은 962개였고, 관련 IP 주소는 335개로 각각 확인됐다. 평균 1개 IP 주소에 2개의 위조 웹페이지를 갖고 있는 셈이다.

지난 9월 마지막 주에는 정부 웹사이트 84개(중국 전체의 2.3%)가 변조 피해를 입으면서 한 주 전보다 58.5% 증가했다. 백도어가 투입된 정부 웹사이트는 36개(2.6%, 주간 20% 증가)였다. 중국 내 웹사이트를 사칭한 웹페이지와 관련된 도메인은 831개, 유관 IP 주소는 306개에 달했다.

中 인터넷응급센터 “10월 첫째 주 정보보안 사건 514건 처리”
인터넷응급센터는 10월 첫째 주 동안 중국 내 3개 통신 서비스업체, 도메인 등록 서비스 기관, 모바일 애플리케이션 스토어, 전국 센터 지사, 국제 협력기관과 공동으로 514건의 온라인 정보보안 사건을 처리했다고 밝혔다. 이 가운데 국경을 넘어 이뤄진 정보보안 사건은 139건이었다. 중국과 외국을 넘나들며 일어난 보안사건 중 인터넷응급센터가 해외 기관과 협조해 처리한 사건은 137건이었고, 중국내 기관과 함께 처리한 사건은 2건이었다.

인터넷응급센터가 9월 마지막 주 처리한 온라인 정보보안 사건은 679건에 달했다. 이 중 국내외에 걸쳐 발생한 보안 사건은 178건이었다. 이들 사건 가운데 센터가 해외 기관과 협력 처리한 사건은 161건, 중국내 기관과 협조해 처리한 사건은 17건에 달했다.

웹페이지 위조 사칭 사건 전체 90% 넘어
인터넷응급센터는 10월 첫째 주 국내외 도메인등록 기관 및 해외 CERT 등과 협조해 중국 내 웹페이지 위조사칭 신고 사건 514건을 처리했다고 밝혔다. 이 기간 온라인 정보보안 사건의 유형을 보면, 웹페이지 위조 사칭이 전체의 94.5%를 차지하며 압도적인 1위에 올랐다. 이밖에 보안 취약점(점유율 4%), 웹페이지 변조(0.7%), 웹사이트 백도어(0.2%) 따위의 사건들이 뒤를 이었다.

이에 앞서 9월 마지막 주 정보보안 사건의 유형 중에서도 웹페이지 위조 사칭이 92%의 점유율로 가장 많았다. 이외에 보안 취약점(3.4%), 웹페이지 변조(2.1%), 악성 프로그램(0.7%), 웹사이트 백도어(0.6%), 도메인 이상(0.3%), 불법 방문(0.3%), 악성 코드(0.1%), 악성 조회와 스캐닝(0.1%), 모바일 애플리케이션(0.1%) 관련 보안 사건이 뒤따랐다.


웹페이지 위조 사칭의 대상을 보면, 10월 첫째 주 은행이 511건으로 가장 많았다. 이밖에 정부 공익 사칭 1건, 온라인 금융결제 사이트 사칭 1건이었다. 9월 마지막 주에도 웹페이지 사칭 대상으로 은행이 573개로 1위를 기록했다. 이어 인터넷 서비스 제공업체 사칭은 44건, 정부 공익 사칭 2건, 미디어 사칭 2건, 온라인 게임 사칭 2건, 온라인 금융결제 사이트 1건이었다.

인터넷응급센터는 10월 첫째 주 30개 모바일 애플리케이션 스토어 및 악성 프로그램 삽입 도메인 쪽과 협력해, 모바일 인터넷 악성 코드를 퍼뜨리는 악성 URL 링크 112개를 찾아내 처리했다고 밝혔다. 앞서 센터가 9월 마지막 주 탐지한 모바일 인터넷 상 악성 URL 링크는 208개였다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>