멀웨어 배포하는 사이트 공유하자고 만들어진 프로젝트, 성공 이어가
중국이 악성 사이트 제일 많아...멀웨어 중에서는 이모텟이 으뜸

[보안뉴스 문가용 기자] 멀웨어와 싸운다는 취지로 만들어진 커뮤니티인 어뷰즈ch(abuse.ch)에서 진행한 URL하우스(URLhaus) 프로젝트가 성공리에 진행되고 있다. 이 프로젝트를 통해 10개월 동안 10만개에 가까운 멀웨어 배포 웹사이트들이 적발되고 폐쇄됐다고 한다.


2018년 3월말부터 시작된 이 프로젝트는, 멀웨어를 퍼트리는 URL들을 힘을 합해 모으고 공유해서 당하지 말자는 취지를 가지고 있다. 어뷰즈 측은 “프로젝트가 상각보다 큰 성과를 거두고 있으며, 커뮤니티 멤버들의 참여가 큰 도움이 되었다”고 밝혔다.

어뷰즈 측의 말대로 지난 10개월 동안 전 세계 265명의 보안 전문가들이 자발적으로 이 프로젝트에 참여했다. 이들은 하루 평균 300개의 멀웨어 배포 사이트들이 어뷰즈 측으로 접수됐다. URL이 매일처럼 확인할 수 있었던, 활동 중인 멀웨어 배포 사이트는 매일 4~5천개 정도였다고 한다. “멀웨어를 호스팅 하는 네트워크 중 2/3가 미국과 중국에 있었습니다.”

URL하우스는 각종 호스팅 서비스 제공 업체들에도 큰 도움이 됐다. “자신들의 네트워크에 침해된 웹사이트가 멀웨어들을 흩뿌리고 있다는 사실을 잘 모르는 경우가 많습니다. URL하우스 프로젝트에서는 이러한 사실을 호스팅 업체에도 알려 해당 웹사이트들에 대한 조치를 취할 수 있도록 했습니다.”

이렇게 해서 10개월 간 10만 개의 사이트를 차단하는 데 성공했다. 하지만 아직도 발전이 필요한 부분이 있다. 바로 평균 폐쇄 시간이다. 현재 멀웨어 배포 사이트의 평균 수명은 1주일이 넘는다(8일 10시간 24분). “이렇게만 살아있어도 수십 만 명의 피해자를 발생시키에 충분합니다.”

폐쇄되고 차단된 악성 사이트들은 중국에 가장 많았다고 어뷰즈 측은 밝힌다. “중국에서 발견된 멀웨어 호스팅 네트워크 중 상위 세 개의 경우, 조치를 취하는 데 있어 한 달 이상이 걸렸습니다. 그 동안 수많은 사람들이 피해를 입었음은 분명하고요.”

또한 어뷰즈 측은 “이러한 악성 사이트에 대한 추적을 하면서 가장 많이 발견된 멀웨어는 이모텟(Emotet) 트로이목마”라고 밝히기도 했다. “저희가 이 프로젝트를 진행하면서 발견한 건 총 38만여 개의 멀웨어 샘플들인데요, 그 중 1만 5천 7백개가 이모텟 변종들이었습니다. 그 다음은 고지(Gozi)로 1만 2천 8백개가 발견됐습니다.”

“URL하우스 프로젝트의 성공은 커뮤니티 멤버들의 참여로 만들어진 것입니다. 하지만 아직 이것으로 만족할 수는 없습니다. 가야 할 길이 더 남았습니다. 멀웨어를 호스팅해주는 사이트들이 아직 많이 남아있기도 하지만, 대응에 걸리는 시간을 줄이기도 해야 합니다. 한 악성 사이트가 평균 1주일이 넘게 활동한다는 것은 가볍게 볼 수 있는 일이 아닙니다. 인터넷 전체의 위생 상태를 보여주는 단면이기도 합니다.”

3줄 요약
1. 멀웨어와 싸우는 커뮤니티인 어뷰즈ch에서 시작한 악성 사이트 공유 프로젝트, 10개월째 진행 중.
2. 현재까지 10만개가 넘는 멀웨어 배포 사이트가 적발 및 폐쇄됨.
3. 악성 사이트의 평균 수명이 1주일 넘는다는 것이 큰 문제. 조치 시간 줄이는 것이 다음 목표.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>