[김국배기자] 악성코드 감염에 악용되는 국내 웹사이트가 급격히 증가하고 있어 대책 마련이 시급하다. 특히 악성코드 감염에 악용되는 기업들은 문제를 인지조차 못하고 있는 경우가 많아 문제가 더 크다는 지적이다.
한국은 과거부터 해킹 공격의 유포지와 경유지로 활용되는 경우가 많았으나 최근 들어 그 빈도가 높아지고 있으며 이전과 달리 해커들이 한꺼번에 여러 개의 경유지를 사용하는 경향마저 강해져 위험은 더욱 커지는 실정이다.
◆ 한국, 해킹 공격의 통로로 떠올라
보안업계에 따르면 최근 국내 기업의 사이트가 악성코드를 뿌리는 통로 역할을 하는 경우가 크게 늘고 있다.
웹보안 업체 빛스캔이 지난 5월 11일부터 이달 10일까지 한달 간에 걸쳐 악성파일 유포지에 대해 조사해 발표한 자료에 따르면 미국의 경우 217곳이, 한국은 두 번째로 많은 190여 곳이 유포지로 활용된 정황이 포착됐다.
파이어아이의 연구 결과보고서에서도 한국은 2012년 한 해 동안 가장 높은 수치의 기업당 콜백 통신을 경험한 국가로 나타났다.
북미 지역이 전체 콜백 수치에서는 44%로 가장 높은 빈도를 보이긴 했지만 기업당 수치로는 한국이 미국보다무려 3배 이상의 높은 콜백을 경험했다. 콜백 통신은 회사 전산망에 침투해 있는 악성코드와 외부명령제어(C&C)서버 간의 통신을 말하는 것으로, 콜백의 수는 악성코드 감염 빈도와 직결된다.
파이어아이 코리아 관계자는 "지난해 12월 러시아 우주 공화국 산하 연구소를 공격한 지능형지속위협(APT) 공격에 국내 공공 사이트 게시판이 악용됐고 그보다 앞선 3월에도 다수의 군 관련 웹사이트가 악성코드 유포지로 쓰였다"고 설명했다.
◆해커들, 대량 악성코드 유포 위한 네트워크 구축
보안 전문가들은 우리나라가 해커들의 해킹 공격 경유지로 악용되는 이유는 지적재산권, 개인정보 등 금전화할 수 있는 정보들이 많기 때문이라고 분석한다. 다른 국가에 비해 인터넷뱅킹 등 전자 금융이 활발한 환경도 작용한다.
빛스캔 전상훈 이사는 "한국은 해커들에게 있어 일종의 테스트베드인 셈"이라며 "인터넷 뱅킹이 쉽지 않은 다른 나라들과 달리 게임계정 탈취 등을 통한 금전화가 용이하다보니 트로이 목마를 통해 정보를 빼내가는 일도 활발하다"고 설명했다. 빛스캔 측에 따르면 현재 활발히 일어나는 공격 중 60~70%는 트로이목마 공격으로 파악되고 있다.
해커들이 경유지를 대량으로 운영하는 경우가 늘고 있다는 점도 과거와는 구별되는 차이점이다.
이는 해커가 동일한 악성코드를 넣은 사이트를 다수 확보해 유포지의 악성코드 내용만 바꿔가며 공격에 계속적으로 악용하는 방식이다. 해커가 일종의 '악성코드 유포용 네트워크'를 확보하는 셈이다. 이같은 상황에서는 대량으로 악성코드를 유포하고 있어 개별적으로 대처하기에도 무리가 따른다.
이러한 상황에도 불구하고 대부분의 회사들은 위협을 감지하지 못하고 있거나 안다고 해도 마땅한 대응책이 없는 실정이다. 알려진 취약점을 통해 공격하는 경우도 드물어 탐지 자체가 어려운 실정이다.
빛스캔 전상훈 이사는 "악성코드가 들어있는 웹사이트의 소스코드만 원상태로 돌려놓는다고 문제가 해결되지 않는다"며 "장기적으로 계속적인 취약성 제거가 필요하고 단기적으로는 국가적 차원에서 확산 초기 단계에 이를 발견하고 대응하는 일이 중요하다"고 강조했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기