인터넷응급센터, 보안사건 중 웹페이지 위조 90% 넘어
트로이목마·봇 감염기기 38만대...콘피커 웜 감염기기 20만대

[보안뉴스 온기홍=중국 베이징] 중국 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 인터넷응급센터)는 11월 둘째 주(7일~13일) 중국에서 인터넷 바이러스에 감염된 기기가 57만 8,300대에 달한 것으로 확인됐다고 최근 밝혔다. 한 주 전에 비해 11% 줄었다. 이 가운데 중국에서 트로이목마 또는 봇(Bot)의 통제를 받은 기기들은 37만 9,700대로 지난주 대비 18.1% 줄었다. 반면 콘피커 웜(Conficker Worm)에 감염 피해를 입은 기기들은 19만 8,600대로 6.6% 늘었다.


11월 첫째 주(10월 31일~11월 6일) 인터넷 바이러스에 감염된 기기는 64만 9,000대로 확인됐다. 이 가운데 트로이목마 또는 봇에 감염 피해를 입은 기기들은 46만 3,000대로 지난주 대비 2% 줄었다. 콘피커 웜에 감염 된 기기들은 18만 6,000대로 8.5% 감소했다.

중국에서 11월 둘째 주 트로이목마와 봇의 통제를 받은 기기가 많은 지역을 보면, 광동성, 장쑤성, 푸젠성 순으로 전국 1~3위를 기록했다. 한 주 전에 비해 푸젠성이 처음으로 상위 3위 안에 들었다. 이들 세 지역은 경제가 발달하고 누리꾼 인구가 많은 동부 연안에 자리 잡고 있다. 광동성에서는 4만7,000대의 컴퓨터가 감염 피해를 입어 전국 감염량의 12.4%를 차지했다. 장쑤성은 3만3,000대 기기가 감염돼 전국 내 8.8%의 점유율을 보였다. 푸젠성은 2만8,000대가 감염 피해를 입어 7.4%의 비중을 기록했다.

11월 첫째 주에는 광동성, 허난성, 장쑤성 순으로 전국에서 트로이목마와 봇에 감염된 기기들이 많았다. 광동성에서는 컴퓨터 5만 9,000대가 감염 피해를 입어 전국 감염량의 12.8%를 차지했다. 전국 2위의 허난성은 3만 6,300대(7.84%)가 감염됐고, 장쑤성은 3만 6,200대(7.82%)가 감염 피해를 입었다.

트로이목마 투입된 웹사이트 관련 도메인 중 외국에 등록된 도매인 32% 달해
인터넷응급센터는 트로이목마 투입 웹사이트가 바이러스의 주요 전파 근원지인 것으로 드러난 가운데 11월 둘째 주 이들 웹사이트와 관련된 도메인은 141개(주간 6개 증가) 탐지됐고, 관련 IP 주소는 509개(주간 50개 감소)가 발견됐다고 밝혔다.

이들 141개 도메인 가운데 31.9%는 외국에 등록된 것으로 확인됐다고 센터는 덧붙였다. 중국 내 등록된 도메인의 비중은 66.7%였고, 나머지 1.4%는 출처가 확인되지 않았다. 이들 도메인 가운데 ‘.com’은 68.1%를 차지해 가장 많았고, ‘.net‘이 19.9%, ‘.cn’이 7.8%의 점유율을 각각 기록했다. 트로이목마 투입 사이트와 관련된 전체 509개 IP 가운데 5.1%는 외국에 등록된 것으로 드러났다고 센터는 밝혔다.

앞서 11월 첫째 주에는 트로이목마 투입 웹사이트와 관련된 도메인이 135개, 관련 IP 주소는 559개가 각각 탐지됐다. 전체 135개 도메인 가운데 31.9%는 외국에 등록됐고, 중국 내 등록된 도메인의 비중은 65.2%였다. 트로이목마 투입 사이트와 관련된 전체 559개 IP 가운데 5.2%는 외국에 등록된 것으로 나타났다고 센터는 밝혔다.

中 11월 둘째 주 백도어 투입 사이트 20% 늘어
인터넷응급센터는 11월 둘째 주 백도어(Backdoor)가 투입된 것으로 확인된 중국 내 웹사이트는 2,423개로 한 주 동안 20.8% 늘었다고 밝혔다. 센터가 중국 내에서 탐지한 변조 피해 웹사이트는 3,020개로 전 주에 비해 2.7% 줄었다. 중국 내 웹사이트를 겨냥해 위조된 웹페이지는 2,973개로 58.9% 감소한 것으로 나타났다.

11월 첫째 주에는 변조 피해를 입은 웹사이트가 3,104개로 전 주에 비해 55.9% 급증했다. 백도어가 투입된 웹사이트는 2,005개로 2.2% 늘었다. 특히 중국 내 웹사이트를 겨냥해 위조된 웹페이지는 7,229개로 무려 460% 폭증한 것으로 확인됐다고 센터는 밝혔다.


지난 11월 둘째 주 변조 피해를 입은 중국 정부 웹사이트(gov류)는 74개로 중국 내 전체의 2.5%를 차지했으며, 한 주 전에 비해 14% 감소했다. 백도어가 삽입된 정부 웹사이트는 47개로 전체의 1.9%에 달하며 한 주 전보다 34.3% 늘었다. 중국 내 웹사이트를 겨냥해 위조한 웹페이지 관련 도메인 네임은 1,384개였고, 관련된 IP 주소는 514개로 각각 확인됐다. 평균 1개 IP 주소에 6개의 위조 웹페이지를 갖고 있는 것으로 나타났다.

앞서 11월 첫째 주 동안 변조 피해를 입은 정부 웹사이트는 86개로 전체의 2.8%를 차지(주간 43.3% 증가)했다. 백도어가 삽입된 정부 웹사이트는 35개로 전체의 1.7%(34.6% 증가)에 달했다. 중국 내 웹사이트를 사칭한 웹페이지 관련 도메인 네임은 1,192개, 관련 IP 주소는 563개였다.

中 인터넷응급센터 “11월 첫째·둘째 주 정보보안 사건 1,822건 처리”
인터넷응급센터는 11월 둘째 주 중국 내 3개 통신서비스업체, 도메인 등록서비스 기관, 모바일 애플리케이션 스토어, 전국 센터 지사, 국제 협력 기관과 공동으로 1,083건의 온라인 정보보안 사건을 처리했다고 밝혔다. 11월 첫째 주에는 739건으로 한 주 전보다 156건 늘었다.

11월 둘째 주 동안 국경을 넘어 이뤄진 정보보안 사건은 204건이었다. 중국과 외국을 넘나 들며 일어난 보안사건 가운데 인터넷응급센터가 해외 기관과 협조해 처리한 사건은 198건이었고, 중국내 기관과 함께 처리한 사건은 6건이었다. 앞서 11월 첫째 주에는 국경을 넘나들며 벌어진 정보보안 사건이 156건에 달했다.

전체 정보보안 사건 중 웹페이지 위조 사칭 90% 넘게 차지
인터넷응급센터는 11월 둘째 주 국내외 도메인등록 기관 및 해외 CERT 등과 협조해 중국 내 웹페이지 위조사칭 신고 사건 958건(11월 첫째 주와 같음)을 처리했다고 밝혔다. 이 기간 온라인 정보보안 사건의 유형을 보면, 웹페이지 위조 사칭(1,028건)이 전체의 94.9%에 달하는 높은 점유율로 수위를 차지했다. 이밖에 보안 취약점(점유율 2.9%), 웹 페이지 변조(1.4%), 웹사이트 백도어(0.3%), 악성 프로그램(0.1%), 도메인 이상(0.1%), 악의적 조회·스캐닝(0.1%), 불법 방문(0.1%) 따위의 사건들이 뒤를 이었다.

앞서 11월 첫째 주 정보보안 사건 유형에서도 웹페이지 위조 사칭(864건, 90.2% 차지)이 압도적으로 많았고, 보안 취약점(4.6%), 웹 페이지 변조(4.2%), 악성 프로그램(0.6%), 악의적 조회·스캐닝(0.2%), 도메인 이상(0.1%), 서비스거부 공격(0.1%) 등의 사건도 발생했다.



지난 11월 둘째 주 웹페이지 위조 사칭(1,082건)의 대상을 보면, 은행이 1,003건으로 가장 많았다. 이어 인터넷 서비스 제공업체 사칭은 18건, 정부 공익 사칭 2건, 증권 사칭 2건이었다. 인터넷응급센터는 이 기간 29개 모바일 애플리케이션 스토어 및 악성 프로그램 삽입 도메인 쪽과 협력해, 모바일 인터넷 악성 코드를 퍼뜨리는 악성 URL 링크 176개를 찾아내 처리했다고 밝혔다. 이에 앞서 11월 첫째 주에서도 웹페이지 위조 사칭(864건) 대상으로 은행(844건)이 압도적으로 많았고, 인터넷 서비스 제공업체(9건), 정부 공익(6건), 증권(2건)이 뒤를 이었다.
[중국 베이징 / 온기홍 특파원 onkihong@yahoo.com]
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>