2013.06.14

악성파일 유포지 미국 1위 한국 2위, 공격 출발점은 전세계로 확산

이대영 기자 | ITWorld
웹 보안 업체인 빛스캔은 최근 PCDS(Pre-Crime Detect Satellite)를 통해 수집된 2013년 5월 11일에서 2013년 6월 10일까지 한달 간의 악성파일 유포지에 대한 통계 자료를 발표했다.

악성파일 유포 국가 가운데 1위는 미국으로, 직접 활용된 유포지가 217곳이었으며, 한국은 190여 곳이 활용됐다. 독일이 3위에 오른 것은 대부분의 레드킷(Redkit) 최종 파일 다운로드 위치가 독일에 위치한 결과였다.

빛스캔 측은 악성파일을 감염시키기 위한 목적인 경유지는 당연히 국내의 주요 사이트들이 대상이었으며, 악성파일을 올려둔 최초 출발지는 유포지라 볼 수 있다고 밝혔다.

"그간 일반적으로 중국발 해킹이 심각한 것으로 알고 있으나, 이제 공격의 출발 지점은 전 세계에서 시작되고 있다"며, "그만큼 공격자들의 공격전략은 넓은 범위에서 시작됨을 확인할 수 있다"고 말했다.

빛스캔 측은 "5월 4주차부터 레드킷의 활동은 매우 활발한 상태였으며, 한국과 일본의 스팸메일 발송지 상위권 등극은 다시 예정된 일이었다"고. 더불어 차단이 어려운 국내 서비스들을 유포지로 활용하는 비율도 증가하고 있어 향후 대응은 계속 어려움이 있을 것으로 예상했다.

보안 전문가들은 우리나라가 해커들의 해킹 공격 경유지로 악용되는 이유는 지적재산권, 개인정보 등 금전화할 수 있는 정보들이 많기 때문이라고 분석했다. 또한 다른 국가에 비해 인터넷뱅킹 등 전자 금융이 활발한 환경도 작용하고 있다.

빛스캔 전상훈 이사는 "한국은 해커들에게 있어 일종의 테스트베드인 셈"이라며, "인터넷 뱅킹이 쉽지 않은 다른 나라들과 달리 게임계정 탈취 등을 통한 금전화가 용이하다보니 트로이 목마를 통해 정보를 빼내가는 일도 활발하다"고 설명했다.

빛스캔 측에 따르면 현재 활발히 일어나는 공격 가운데 60~70%는 트로이목마 공격으로 파악되고 있다.

해커들이 경유지를 대량으로 운영하는 경우가 늘고 있다는 점도 과거와는 구별되는 차이점이다.
해커가 동일한 악성코드를 넣은 사이트를 다수 확보해 유포지의 악성코드 내용만 바꿔가며 공격에 계속적으로 악용하는 방식인데, 이는 해커가 일종의 '악성코드 유포용 네트워크'를 확보하는 셈이다.

멜넷의 증가는 지난해부터 예상해 오던 보안 위협 가운데 하나였다. 대량으로 악성코드를 유포하는 멜넷은 유포지를 차단하더라도 마치 메두사처럼 새로운 유포지가 생겨나면서 대량으로 악성코드를 유포하고 있어 개별적으로 대처하기에도 무리가 따른다.

블루코트 시스템 악성코드 연구원 팀 반 데르 호스트는 "멜넷은 유기적이고 자발적인 생존 속성을 갖기 때문에 제거가 아주 힘들다"며, "사용자가 감염이 되면 결국 봇넷의 봇이 되고 만다. 지휘통제 서버와 통신을 해 그 결과를 공격자에게 보낸다"고 설명했다.

멜넷은 지리적 경계를 뛰어넘어 확산이 된다는 특징도 갖고 있다. 특정 국가에서 멜넷을 폐쇄하더라도 다른 국가에서 계속 공격을 감행할 수 있다. 멜넷은 한 번의 검색으로 100만 명을 공격하는 것이 아니라, 백만 번의 검색으로 백만 명을 공격하는 것이다.

이러한 상황에도 불구하고 대부분의 기업들은 위협을 감지하지 못하고 있거나 안다고 해도 마땅한 대응책이 없는 실정이다. 알려진 취약점을 통해 공격하는 경우도 드물어 탐지 자체가 어려운 실정이다.

빛스캔 전상훈 이사는 "악성코드가 들어있는 웹사이트의 소스코드만 원상태로 돌려놓는다고 문제가 해결되지 않는다"며, "장기적으로 계속적인 취약점 제거가 필요하고 단기적으로는 국가적 차원에서 확산 초기 단계에 이를 발견하고 대응하는 일이 중요하다"고 강조했다. editor@itworld.co.kr


2013.06.14

악성파일 유포지 미국 1위 한국 2위, 공격 출발점은 전세계로 확산

이대영 기자 | ITWorld
웹 보안 업체인 빛스캔은 최근 PCDS(Pre-Crime Detect Satellite)를 통해 수집된 2013년 5월 11일에서 2013년 6월 10일까지 한달 간의 악성파일 유포지에 대한 통계 자료를 발표했다.

악성파일 유포 국가 가운데 1위는 미국으로, 직접 활용된 유포지가 217곳이었으며, 한국은 190여 곳이 활용됐다. 독일이 3위에 오른 것은 대부분의 레드킷(Redkit) 최종 파일 다운로드 위치가 독일에 위치한 결과였다.

빛스캔 측은 악성파일을 감염시키기 위한 목적인 경유지는 당연히 국내의 주요 사이트들이 대상이었으며, 악성파일을 올려둔 최초 출발지는 유포지라 볼 수 있다고 밝혔다.

"그간 일반적으로 중국발 해킹이 심각한 것으로 알고 있으나, 이제 공격의 출발 지점은 전 세계에서 시작되고 있다"며, "그만큼 공격자들의 공격전략은 넓은 범위에서 시작됨을 확인할 수 있다"고 말했다.

빛스캔 측은 "5월 4주차부터 레드킷의 활동은 매우 활발한 상태였으며, 한국과 일본의 스팸메일 발송지 상위권 등극은 다시 예정된 일이었다"고. 더불어 차단이 어려운 국내 서비스들을 유포지로 활용하는 비율도 증가하고 있어 향후 대응은 계속 어려움이 있을 것으로 예상했다.

보안 전문가들은 우리나라가 해커들의 해킹 공격 경유지로 악용되는 이유는 지적재산권, 개인정보 등 금전화할 수 있는 정보들이 많기 때문이라고 분석했다. 또한 다른 국가에 비해 인터넷뱅킹 등 전자 금융이 활발한 환경도 작용하고 있다.

빛스캔 전상훈 이사는 "한국은 해커들에게 있어 일종의 테스트베드인 셈"이라며, "인터넷 뱅킹이 쉽지 않은 다른 나라들과 달리 게임계정 탈취 등을 통한 금전화가 용이하다보니 트로이 목마를 통해 정보를 빼내가는 일도 활발하다"고 설명했다.

빛스캔 측에 따르면 현재 활발히 일어나는 공격 가운데 60~70%는 트로이목마 공격으로 파악되고 있다.

해커들이 경유지를 대량으로 운영하는 경우가 늘고 있다는 점도 과거와는 구별되는 차이점이다.
해커가 동일한 악성코드를 넣은 사이트를 다수 확보해 유포지의 악성코드 내용만 바꿔가며 공격에 계속적으로 악용하는 방식인데, 이는 해커가 일종의 '악성코드 유포용 네트워크'를 확보하는 셈이다.

멜넷의 증가는 지난해부터 예상해 오던 보안 위협 가운데 하나였다. 대량으로 악성코드를 유포하는 멜넷은 유포지를 차단하더라도 마치 메두사처럼 새로운 유포지가 생겨나면서 대량으로 악성코드를 유포하고 있어 개별적으로 대처하기에도 무리가 따른다.

블루코트 시스템 악성코드 연구원 팀 반 데르 호스트는 "멜넷은 유기적이고 자발적인 생존 속성을 갖기 때문에 제거가 아주 힘들다"며, "사용자가 감염이 되면 결국 봇넷의 봇이 되고 만다. 지휘통제 서버와 통신을 해 그 결과를 공격자에게 보낸다"고 설명했다.

멜넷은 지리적 경계를 뛰어넘어 확산이 된다는 특징도 갖고 있다. 특정 국가에서 멜넷을 폐쇄하더라도 다른 국가에서 계속 공격을 감행할 수 있다. 멜넷은 한 번의 검색으로 100만 명을 공격하는 것이 아니라, 백만 번의 검색으로 백만 명을 공격하는 것이다.

이러한 상황에도 불구하고 대부분의 기업들은 위협을 감지하지 못하고 있거나 안다고 해도 마땅한 대응책이 없는 실정이다. 알려진 취약점을 통해 공격하는 경우도 드물어 탐지 자체가 어려운 실정이다.

빛스캔 전상훈 이사는 "악성코드가 들어있는 웹사이트의 소스코드만 원상태로 돌려놓는다고 문제가 해결되지 않는다"며, "장기적으로 계속적인 취약점 제거가 필요하고 단기적으로는 국가적 차원에서 확산 초기 단계에 이를 발견하고 대응하는 일이 중요하다"고 강조했다. editor@itworld.co.kr


X