MalwareNet의 활성화와 함께 자바 취약성 공격 급증세   빛스캔-KAIST 사이버보안연구센터 7월 4주차 보안위협 보고서 결과
 
[보안뉴스 권 준] 최근 자바 애플릿(Java Applet) 관련 취약점을 이용한 악성코드 유포와 함께 플래시 취약점(CVE-2012-0754)이 가파르게 증가하고 있는 것으로 나타났다.

이는 빛스캔과 KAIST 사이버보안연구센터에서 공동 운영하는 보안정보 제공 서비스의 7월 4주차 국내 인터넷 환경의 위협분석 보고서에 따른 것으로, 7월 4주차 감염 취약점 통계를 살펴보면, 전체 취약점 비율 62%가 Java Applet 관련 취약점인 것으로 집계됐다.

이와 관련 빛스캔 측은 “Java Applet 관련 취약점은 힙 스프레이(Heap Spray)와 같은 부가적인 공격기법을 필요로 하지 않고 단순히 Java JRE 버전에 의존적이므로 공격 측면에서 손쉽게 악성코드를 유포시킬 수 있다는 장점이 있다”며, “이를 공격자들이 악성코드 유포에 적극 활용하고 있다”고 밝혔다.

취약점별 감염비율 [자료 : 빛스캔-KAIST 사이버보안연구센터]

위 그림에서 보듯 7월 4주차에는 Java Applet, 플래시 관련 취약성 비율이 매우 많이 증가하고 있으며, 다양한 악성링크 유형에 대부분 포함되어 있어 감염비율이 매우 높다는 게 빛스캔 측의 설명이다. 이에 사용자들은 주기적인 보안 업데이트를 통해 항상 최신 버전의 Java JRE 및 플래시를 사용하고, 적극적인 패치 노력을 기울여야 한다는 것.



7월 4주차 보안위협 동향에 있어 또 하나의 주목할 만한 특징은 바로 MS XML 취약점(CVE-2012-1889) 관련 공격이 7월 3주차부터 다시 증가하고 있는 추세로 7월 4주차의 악성링크에 모두 포함되어 있다는 점이다. 패치를 발표했음에도 불구하고 관련 공격이 증가 추세에 있다는 것은 그만큼 사용자들이 패치를 하지 않는다는 반증이기도 하다. 이에 빛스캔 측은 자동 업데이트 서비스를 활성화 해놓거나 http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043를 통해 반드시 패치를 할 것을 당부했다. 

빛스캔과 KAIST 사이버보안연구센터에서 발표한 7월 4주차 공격의 특징은 다음과 같다.
- MalwareNet의 활성화(5~20개 규모의 신규 Malwarenet 출현)
- MalwareNet인 한 전자 카탈로그 솔루션 전문업체 사이트가 또 다시 악성코드 중계지로 악용
- P2P 및 언론 매체를 통한 악성코드 유포뿐만 아니라, 호스팅 업체, 거래 사이트, 온라인 쇼핑몰, ebook 등 다양한 사이트들을 활용한 악성코드 유포
- 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 계속
- 다운로더 및 백도어 형태의 악성코드 유포 증가
- 게임 계정 이외에 문화상품권 및 게임머니 거래 사이트에 대한 계정탈취형 악성코드 계속 발견
- 대부분의 게임 계정 탈취 및 백신 서비스 킬링(killing)은 계속 됐으며, 계정 탈취는 BHO(Browser Helper Object)를 이용한 유형이 가장 많이 발견

또 한 가지 최근에 언론지상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 당시 상당수의 악성코드가 유포 되었을 것으로 추정되고 있으며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있다고 빛스캔 측은 밝혔다. 

이와 함께 이번 주 공격에 사용되었던 MalwareNet의 악성링크는 한 전자 카탈로그 솔루션 전문업체 사이트로, 20여 곳에서 동시에 악성코드 유포에 활용된 것으로 드러났다. 지난 주에도 악성링크로 악용됐지만 제대로 대처가 되지 않아 금주에도 다시 악용됐다는 것. 또 다른  MalwareNet 가운데는 한 보험사이트가 포함된 것으로 나타났다. 

현재의 공격동향과 관련해 빛스캔 측은 “지금의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있어 웹 서핑이나 웹 서비스에 방문만 해도 감염이 되는 공격코드들이 창궐하고 있다”며, “더욱이 공격자들은 백신 탐지 회피를 위해 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있다”고 우려했다.

특히, 보고서에 기술된 공격들이 이메일 등을 통한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염, 즉 모든 방문자를 대상으로 방문만 해도 감염이 되는 Drive by Download 공격이기 때문에 각별한 주의가 필요하다는 게 빛스캔 측의 설명이다. 

이렇듯 한주간의 보안위협 동향과 기술 분석 내용이 담긴 온라인 보안위협 보고서는 빛스캔의 PCDS(Pre Crime Detect System)의 탐지역량과 KAIST 정보보호대학원, 사이버보안센터의 분석 역량이 결집된 분석 보고서로, 정식 구독 서비스 가입 및 시범 서비스 신청은 이메일(info@bitscan.co.kr)을 통해 가능하다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>