한국 인터넷 위협(요약) - 5월 3주차

• Yes24, Korea.com , 다수의 상위 노조 , 대규모 사용자가 이용하는 P2P 사이트를 통한 악성코드 감염이 계속 관찰됨

한국 인터넷 위협(요약) - 5월 3주차

 

발행일: 2014년 5월 21일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30여 만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 지난주에 이어서 신규 악성링크의 출현은 감소하고 있는 추세지만 영향력 측면은 지속적으로 증가하고 있는 상황이다. 특히, 금주에는 파일공유(P2P) 사이트를 비롯하여 영향력 있는 사이트에서의 악성코드 유포가 나타났다. 따라서 금주 역시 "경고" 수준으로 유지한다.

 

주요 특징(Main Features)

신규 경유지 감소에도 불구하고 파급력 증가 – 효율적인 공격의 흐름 영향력 증가 – P2P 사이트 최소 8곳 등 사용자 방문이 많은 사이트에 대한 공격 (P2P 사이트 최소 8곳 이상 동시 악성코드 유포는 올해 처음 관찰) 금융 – 파밍 관련, 포트번호를 통한 특정 금융 사이트에 대한 공격 분류 금융 – 파밍 공격, hosts(hosts.ics) 파일의 변조를 이용하는 공격 감소

주간 동향(Weekly Trend)

[표 1. 5월 3주차 한국 인터넷 위협지수]

4월 4주부터 시작된 신규 경유지의 하락은 5월 3주까지 이어지고 있다. 하지만, 신규 공격코드에 영향력은 증가와 감소를 반복하고 있으며 최근 3주 사이에는 경유지 대비 높은 파급력을 나타내고 있다. 특히, 금주에는 온라인 서점, 포탈 사이트를 비롯하여 8개 이상의 파일공유(P2P) 사이트를 통해 악성코드가 직접 유포 및 경유지로 활용되는 모습이 확인되었다. 이들은 대부분 동일한 파밍 악성코드를 유포하였으며 확인 결과 hosts(hosts.ics) 파일 변조 없이 파밍사이트로 연결하는 등 새로운 공격 방식이 꾸준히 나오고 있다.

 

[표 2. 5월 3주차 시간대별 통계]

시간대별 통계를 살펴보면 매주 유포범위가 바뀔 만큼 유동적으로 움직인다고 볼 수 있다. 특히, 최근 3주를 살펴보면 어느 특정한 시간대에 출현한다고 예측할 수 없는 만큼 초기 대응을 통해 광범위하게 분포되어 있는 악성링크의 영향을 줄여야 한다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 3주차부터 5월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 122건(48.4%)으로 지난주 보다 증가했으며, 미국이 102건(40.5%), 홍콩이 12건(4.8%), 기타(6%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. 코리아닷컴(Korea.com) 사이트를 통한 악성코드 유포 – 2014년 5월 18일]

주말 동안 파일공유(P2P)를 사이트를 중심으로 온라인서점, 포털사이트를 통해 악성코드 유포 활발히 이루어진 가운데 코리아닷컴(Korea.com) 포털 사이트 공용모듈에 비정상링크가 삽입되어 악성링크의 경유지로 연결하고 있는 모습이 발견되었다. 특히, 해당 모듈은 코리아닷컴(Korea.com)뿐만 아니라 연계된 사이트에서도 이 공통모듈이 활용되고 있었으며 해당 악성링크는 5월 18일 하루동안 활동을 하였으며, 다운로드되는 악성코드를 분석한 결과, 최근 이슈인 사용자의 금융정보를 노리는 파밍 악성코드로 확인되었다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.