지난 8월부터 9월까지 국내 악성링크 유포 전월 대비 감소
공격자들, Web Analytics 서비스 이용해 사용자 접속 트래픽 분석

[보안뉴스 민세아] 지난 8월부터 9월까지 국내 악성링크 유포 통계를 살펴본 결과 공격코드의 수가 전월 대비 크게 줄어든 것으로 나타났다.


정보보안전문 스타트업 UpRoot(대표 염세현)가 전 세계 악성링크 정보를 한 눈에 볼 수 있는 badware.info 서비스를 통해 지난 8월부터 9월까지 발생한 악성링크를 분석한 결과에 따르면 국내 악성링크 공격코드(CK VIP Exploit Kit)는 전월 대비 현저히 감소했으며, 웹 카운트 행위만 유지하는 것으로 포착됐다.

악성링크를 통해 금융정보 탈취를 노린 악성코드가 주로 유포됐으며, 교육기관 및 연구기관에서 포털사이트 로그인 페이지를 사칭해 개인정보를 탈취하는 악성코드도 많이 발견된 것으로 집계됐다.

같은 시기 동안 해외에서는 악성링크 유포·경유지로 중국과 미국이 각각 5만 3,904건과 2만 1,351건이라는 압도적인 수치를 나타냈다. 중국과 미국의 경우 국내와 다르게 웹 카운트 서비스를 이용해 악성링크를 유포하는 것으로 확인됐다.

변화된 악성링크 유포 방식
과거 특정 취약점을 이용한 악성링크 유포시 공격 코드에 난독화가 적용되지 않았지만 최근 같은 취약점으로 발견된 코드에서는 난독화가 적용된 것으로 드러났다. 일례로 MS 인터넷 익스플로러(IE) 취약점(CVE-2014-6332)을 이용해 공격하는 일명 ‘갓모드(Godmode)’ 공격코드에서 이전과 다르게 난독화가 적용되어 있다는 사실이 밝혀졌다.

또한, 최근 일부 중국발 악성링크에서 KaiXin 익스플로잇 팩(Exploit Pack)을 이용한 공격이 발견되고 있어 사용자들의 주의가 요구된다. KaiXin 패턴에서는 iframe을 통해 리다이렉트한 후, ‘embed’ 태그를 이용해 악성 SWF 파일을 불러와 실행하는 것이 특징이다.

이러한 공격의 경우 웹사이트 관리가 소홀하지만 정기적인 방문자가 있는 학교, 병원과 같은 생활밀착형 사이트에서 발생하는 경우가 많기 때문에 피해가 발생해도 대응할 수 있는 인력이 없어 피해자가 더욱 증가하는 악순환이 반복되고 있다고 UpRoot의 염세현 대표는 우려했다.

사용자 환경에 따라 다양한 악성행위를 하는 악성링크도 있다. 최근 익스플로잇 킷(Exploit Kit)이나 기타 공격도구가 크로스-플랫폼 형식처럼 다변화되고 있어 같은 악성링크임에도 불구하고 기기별, 환경별로 다른 악성행위를 수행할 수 있다는 것이다.

실제로 모바일에서 감염된 웹사이트에 접속한 경우 APK파일을 다운로드해 감염을 유도하지만, PC로 접속한 경우 기존 PC에서 사용한 공격코드를 이용해 악성코드를 감염시키는 것으로 알려졌다.

아울러 최근 공격자들은 수많은 피해사이트들을 한번에 관리하고 사용자의 접속 트래픽을 분석해 적절한 공격시기를 노리거나, 탐지 및 미 탐지된 사이트를 분류하기 위해 중국에서 제공하는 Web Analytics 서비스를 이용하는 경우가 많은 것으로 드러났다. 이로 인해 정상 코드들 속에서 은밀하게 숨어있는 경우가 많아 사이트 관리자나 접속자가 보기에는 아무런 행동을 하지 않는 것처럼 보인다는 게 UpRoot 측의 설명이다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>