11월 악성코드 분석 결과, 트로이목마와 중국발 해킹이 기세를 떨쳤던 것으로 나타났다.
에스지어드밴텍(www.viruschaser.com)은 자사 연구소에서 발표한 ‘11월 국내 악성코드 동향 분석’을 통해, 이번달 악성코드에 감염된 컴퓨터 수가 258,466 대로 지난 3분기 평균 239,053대보다 약 8% 증가했다고 밝혔다.
새로이 발견된 악성코드는 지난달에 비해 약 56% 증가했으며, 특히 기타 악성코드와 트로이목마 악성코드가 크게 증가했다. 기타 악성코드 중 스크립트 악성코드는 웹사이트 해킹 후 사용자의 시스템에 트로이목마를 다운받아 실행하거나, 취약점 공격을 위해 사용되는 형태로써 이러한 과정을 통해 트로이목마가 유입되므로 기타 악성코드와 트로이목마의 신종 악성코드가 증가한 것으로 판단된다.
악성코드 출현 순위 Top 10을 살펴보면 트로이목마와 스크립트 악성코드가 상위 랭킹을 차지하고 있는데, 이는 트로이목마를 감염시키기 위해 실행되는 스크립트와 이를 통해 감염 시스템의 계정 정보를 빼돌리는 트로이목마, 그리고 또다른 악성코드를 다운로드하여 실행하는 다운로더가 함께 발견됐기 때문이다. 이러한 사실을 통해 웹사이트 해킹을 통한 트로이목마의 감염 피해는 여전히 지속되고 있음을 알 수 있다.
국내의 특이 악성코드 현황을 보면, 지난 11월 18일부터 중국의 특정 사이트로 시작페이지가 고정되고 중국어로 된 광고 팝업들이 발생하는 현상이 다수 접수됐다.
해당 악성코드는 해킹된 웹페이지를 방문한 사용자들에게서 발견됐는데, 설치된 하나의 악성코드가 또다른 악성코드인 트로이목마나 스파이웨어, 애드웨어 등을 설치하게 되므로 이에 감염된 사용자는 시작페이지 고정 뿐만 아니라 팝업이나 인터넷 장애 등 여러 가지 증상이 나타난다. 또한, 최초에 설치된 악성코드에 의해서 다른 악성코드가 설치될 때 악성코드 목록을 서버에 심어두는데 이를 변형하여 갱신함으로써 백신 방역을 방해하기도 했다.
에스지어드밴텍 연구소 최재혁팀장은 “중국발 해킹을 통해 국내의 많은 웹페이지가 해킹당한 것으로 보이며 해킹당한 페이지를 통해 감염되는 사례는 계속해서 나타날 것으로 보인다”며 “이러한 사례를 줄이기 위해서는 근본적으로 웹페이지의 해킹방지를 위해 서버 보안이 요구되는 한편, 일반 사용자는 클라이언트로서의 보안 의식이 필요하다”고 강조했다.
최재혁 팀장은 덧붙여, “최근에 많이 나타나는 악성코드는 시스템의 취약점을 통해 자신을 실행토록 만든다”며 시스템의 취약점에 대해 경고했다.
이번 중국발 시작페이지 고정과 팝업창을 띄우는 악성코드 또한 쇼크웨이브(Shockwave)의 플래시 취약점이나 마이크로소프트의 액세스 스냅샷 뷰어(Access Snapshot Viewer), MDA에서 발견된 보안취약점을 이용하는 코드가 발견됐고, 중국에서 많이 사용하는 바이두(Baidu) 관련 툴바나, 360세이프라이프 등 사용자가 많은 응용프로그램의 취약점을 이용한다. 따라서, 사용자는 윈도우나 응용프로그램에 대한 취약점 패치에 주의를 기울일 때라고 설명했다.
에스지어드밴텍연구소는 하나의 악성코드가 설치되면 다른 악성코드들이 함께 설치되는 추세를 감안해 볼 때, 보안 취약점 하나가 자신의 시스템에 얼마나 많은 악성코드들을 설치하게 만드는지 고민해봐야 할 것이라고 조언했다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr