“파일을 다운로드 받지도 않았고 평소대로 인터넷 서핑만 했는데도 악성코드에 감염됐는데 왜 그런지 모르겠네요.”
악성링크로 인한 피해 확산 추세가 무섭게 증가하고 있다. 최근 보안업계는 그야말로 '악성링크와의 전쟁' 국면이다. 클릭 한 번에도 PC가 악성코드에 감염될 수 있기 때문이다.
국내의 경우 현재 최대 250개 이상 사이트에서 악성링크가 유포되고 있는 것으로 나타났다. 단순한 악성링크 공격이 아닌 중간 경로를 이용한 공격도 대규모 관찰되고 있다.
보안 전문업체 빛스캔 조사 결과에 따르면, 악성링크 하나가 최소 10개에서 최대 100개 이상 웹서비스를 통해 동시에 유포되고 있다. 유포지로 활용되는 웹사이트는 점점 증가 추세다. 현재 다수의 악성코드 종류 하나가 악성링크 형태로 다수의 웹사이트를 통해 퍼져나가고 있다. 수 많은 악성코드 네트워크 체계가 구성된 것이다.
특히 악성링크의 공격을 가장 많이 받는 웹사이트는 언론사나 웹하드 등이다. 많은 사용자가 방문하고 파급력이 크기 때문에 공격자들의 선호도가 높다. 최근 악성링크에 주로 사용되는 악성코드는 시스템 상에 백도어 설치를 통해 게임 계정정보를 유출하는 악성코드와 금융정보 탈취를 위한 악성코드 등이다.
빛스캔 조사결과에 따르면, 지난 한 주간 악성코드 유포지로 이용된 웹서비스들은 300여곳 이상이다. 그러나 실제로 악성코드 유포가 이뤄진 곳은 600개 웹사이트에 달한다. 지난 3월달 만해도 소규모로 이뤄졌던 악성링크 확산 속도가 단 2일 동안 250여개 이상 웹사이트로 증가한 바 있다. 6월 초 1주일간 악성링크 흔적이 발견된 곳도 2천300여곳이다.
웹서비스에 악성링크가 삽입되면 사용자가 클릭하는 순간 PC가 악성코드에 감염시키는 피해가 발생한다. 유포 네트워크가 기하급수적으로 늘어나 피해가 심각해지고 있지만 이에 대한 개선조치가 제대로 이뤄지고 있지 않은 상황이다.
전상훈 KAIST 사이버보안연구센터 연구팀장은 악성링크가 삽입된 웹서비스들의 대응이 많이 부족한 상태로 계속해서 공격피해가 반복되고 있다면서 공격자는 대규모 감염을 위해 사용자가 사이트를 방문하면 감염피해를 확산시킬 수 있는 사이트들을 대규모로 확장해 거대 네트워크를 운영하고 있다고 말했다.
공격자가 삽입해 둔 악성링크가 삭제되지 않은 웹사이트들을 대상으로 새로운 악성 링크로 전환되는 현상도 관찰되고 있다. 이는 모두 공격자가 활용할 수 있는 상태로 운영되고 있다. 공격자가 자유자재로 패턴을 변화 중이다.
이미 공격자는 감염된 PC의 권한을 통제하고 있는 IP대역들이 다수 확보하고 있으며 해당 IP대역들은 공격에 지속적으로 활용되고 있다. 보안 전문가들은 악성링크에 의한 피해를 막기 위해서는 해당 IP대역을 차단하고 차단 수치를 검토해 현재 상태가 얼마나 위험한지에 대해 파악해야 한다는 지적했다.
관련기사
- 악성 웹사이트 하루 9천500개 쏟아진다2012.06.20
- 중앙일보 강타한 악성코드...북한 배후?2012.06.20
- 광고 보는 당신, 이미 악성코드 감염2012.06.20
- 보안위협 탈출...'악성코드 네트워크' 잡아라2012.06.20
문일준 빛스캔 대표는 악성링크와 웹서비스 전체적으로 문제점 개선이 이뤄지지 않고 있어 악순환이 반복되고 있다며 상황이 이렇다보니 공격자들은 자유롭게 악성코드 감염을 통한 좀비PC를 대규모 양산하기 위해 악성코드 유포지를 대폭 확장하는 것은 물론 직접 활용하고 있다고 설명했다.
그는 이어 대규모 악성코드 네트워크를 자유자재로 변경해 활용하는 현상이 추가 관찰되고 있어 향후 위험성은 더욱 증가하고 있어 악성링크 유포에 활용된 IP대역을 차단해야 한다고 덧붙였다.
