[빛스캔과 함께 하는 금주 보안동향] MS 제로데이 공격 갈수록 `심각`

관련 통계자료 다운로드 전체 악성코드 및 제로데이 취약점 공격동향

빛스캔, KAIST 사이버보안연구센터, 정보보호대학원이 공동으로 발표한 7월 1주차 국내 보안 동향에서 눈에 띄는 부분은 지난주와 비슷하게 제로데이 취약점인 `CVE-2012-1889`의 급증이다.

전체 악성코드와 MS제로데이 취약점 `CVE-20121889`를 이용한 악성코드가 거의 동일하게 발생되고 있음을 확인가능하다.
전체 악성코드와 MS제로데이 취약점 `CVE-20121889`를 이용한 악성코드가 거의 동일하게 발생되고 있음을 확인가능하다.

6월 3주차 악성코드 분석에서 39%의 비율을 보이던 CVE-2012-1889 포함 공격 비율이 6월 4주차 82%, 7월 1주차 96%로 증가, 대부분의 악성링크들이 해당 취약점을 이용해 공격을 하고 있음이 확인됐다. 7월 1주차에 분석된 악성링크들에서는 단 하나의 링크를 제외한 모든 악성링크들이 CVE-2012-1889 취약점을 사용하고 있다.

패치가 이미 적용된 다른 취약점들에 비해서 패치가 적용되지 않은 CVE-2012-1889 취약점을 이용한 공격의 성공률이 높기 때문에 공격자들은 거의 모든 악성코드에 CVE-2012-1889 취약점을 이용하고 있다. 빛스캔측은 “CVE-2012-1889 취약점에 대해 MS는 조속한 조치를 취하여 피해를 최소한으로 줄일 수 있도록 노력을 기울여야한다”고 했다.

금주 악성코드 중 60% 이상을 차지하는 악성코드들이 백신을 우회하는 기능을 갖추고 있는 것으로 분석됐다. 악성코드들이 우회하는 백신들은 V3와 알약 등 국내 백신이기 때문에 이 악성코드들이 국내를 대상으로 제작된 악성코드라는 사실을 확인할 수 있다. 악성코드들은 시스템 폴더에 등록된 주요 백신 파일을 변조하는 기법을 사용하고 있다.

7월 1주차 주간 공격동향으로는 신규 악성링크 24건, 악성링크 도메인 21건, 신규 악성코드 14건, 그리고 악성코드 유형이 3건으로 집계됐다.

주요 감염 취약점으로는 CVE-2012-0507(24건, 24.4%), CVE-2011-3544 (24건, 24.4%), CVE-2012-1889 (23건, 23.4%), CVE-2012-0003 (13건, 13.2%), CVE-2012-0754 (12건, 12.2%), CVE-2011-2110 (1건, 1.0%), CVE-2010-0806 (1건, 1.0%) 순으로 각각 집계됐다. 국가별 악성링크 도메인 통계로는, 미국이 19건으로 전체 도메인의 79%를 차지하고 있으며, 한국 2건(8.6%), 중국 1건(4.3%), 필리핀 1건(4.3%), 홍콩 1건(4.3%)으로 집계됐다.

장윤정기자 linda@etnews.com