악성파일 대부분 금융정보 탈취용인 파밍 기능의 악성코드
 
[보안뉴스 김태형] 2013년 12월 3주차부터 급증하기 시작한 국내 도메인 유포지 비율은 2월 3주차에 이르러 감소하는 것이 관찰되고 있다. 국내 도메인이 직접 유포지로 활용된 비율이 급증한 시기는 12월 대선을 기점으로 하고 있다.
 
악성코드 유포지는 홈페이지 자체에서 악성코드 파일을 저장하여 이용자에게 전파하는 페이지이고, 악성코드 경유지는 홈페이지 방문자에게 악성코드 유포지로 경유할 수 있도록 간접적으로 전파하는 페이지를 말한다.

빛스캔에 따르면, 대선을 2주 앞둔 상황에서 DDoS 공격용 악성코드가 대량 유포된 정황이 발견되어 조건 없이 악성파일(60종), C&C주소(40종)을 20여 개 이상의 보안관련 기업·기관과 공유한 바가 있다고 밝혔다.

그 결과 공격이 절반 이상 감소된 상황이 관찰됐다. 이후 차단을 회피하기 위해 국내 도메인 자체를 해킹해 악성코드 파일을 저장한 뒤 직접 유포에 이용되는 현상이 다수 관찰된 바 있어 악성코드 유포지로 직접 활용되어 심각한 위협수준이 되는 서비스에 한해서는 언론에 공개했다는 게 빛스캔 측의 설명이다.

빛스캔 측은 “현재 국내 도메인을 직접 유포지로 활용하는 사례는 줄어들었으나 방문 시에 감염되는 경유지의 수치는 여전히 동일한 수치를 보이고 있어서 감염비율은 계속 유지되는 것으로 판단된다”고 설명했다.

빛스캔은 한 주간 국내·외 140만개 이상의 주요 웹 서비스를 관찰해 악성코드 유포를 탐지하는 PCDS(Pre Crime Detect Satellite) 체계에 의해 탐지된 내용을 매주 수요일에 브리핑, 동향분석, 기술분석 보고서를 발행하고 있으며, 다음 내용은 2013년 2월 3주차 동향 분석 보고서 내용이다.

빛스캔은 향후에도 국내 도메인에 악성파일을 올려두고 경유지로 직접 활용하는 경우에는 심각성을 제기하고 정보공유를 위해서 공개하는 것을 원칙으로 한다는 방침이다.

주간 악성링크 도메인 통계
국가별 악성링크 도메인 통계를 분석한 결과, 미국이 16건으로 전체 도메인의 72.7%를 차지했으며 한국이 6건으로 전체 도메인의 13.6%를 차지했다.

                    

최근 1달 악성링크 도메인 통계
1월 3주차부터 2월 3주까지의 최근 1달 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국(97건, 59.5%), 미국(44건, 27.0%), 홍콩(4건, 2.5%), 중국(7건, 4.3%), 일본(5건, 3.1%) 등으로 나타났다.
    
트렌드를 살펴보면 한국발 악성링크 도메인이 전체 악성링크 도메인의 59.5%로 나타났으며, 1월 3주 다양한 국가발 악성링크 도메인이 출현한 것을 제외하고는 한국과 미국, 홍콩 도메인 위주로 많은 악성링크가 출현했으며, 금주는 한국과 미국 도메인에서 악성링크가 출현한 것으로 분석됐다.  
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>