지난주에 다수 발견됐던 지능형지속위험(APT) 악성코드가 더욱 강력해진 성능으로 재발견됐다.
빛스캔, KAIST 사이버보안연구센터, 정보보호대학원이 공동으로 발표한 `8월 3주차 국내 악성코드 동향` 보고서에 따르면 지난 주 발견됐던 APT로 의심되는 악성코드들이 추가 악성코드를 다운로드하기 위한 `다운로더` 형태로 계속 발견되고 있다.
악성코드 중에서는 ARP 스푸핑(poisoning) 공격과 동일 네트워크 대역에 대한 적극적인 정보 수집 활동이 늘어난 형태가 주를 이룬다. 이 악성코드는 웹페이지에 대한 변경을 통해 정보를 빼가고 조작하는 기능까지 가지고 있다.
빛스캔 측은 “원격에서 사용자의 원격화면 정보, 내부 파일 ,캠 실행 등을 직접 제어할 수 있는 Ghost RAT(Remote Administration Tool) 유형의 악성코드 유포가 대량으로 감지됐다”며 “향후 정보 유출이나 내부망 침입 및 ARP 스푸핑 증가로 인한 현상들이 나타날 것”이라고 전망했다.
8월 3주차 주간 공격동향으로는 신규 악성링크 48건, 악성링크 도메인 34건, 신규 악성코드 28건으로 집계됐다. 신규 악성링크를 통해 수집된 악성코드들은 다운로더 10건, 게임계정 탈취 9건, 루트킷 3건, 분류미상 3건으로 나타났다. 특히 파일변조와 다운로더 역할을 모두 수행하는 악성코드도 2건이 출현했다.
주요 감염 취약점으로는 CVE-2012-1889(44건, 26.2%), CVE-2012-1723(35건, 20.8%), CVE-2011-3544(33건, 19.6%), CVE-2012-0507(30건, 17.9%), CVE-2011-1255(21건, 12.5%) 순으로 각각 집계됐다.
또 금주의 시간별 통계를 살펴보면 금요일 저녁과 일요일 오후에 집중적으로 유포가 있었던 사실을 확인할 수 있다. 특히 금요일 저녁 시간대(18시~22시)에 걸쳐 악성링크가 집중적으로 유포되고 있었다. 추가적으로 광복절 이전 징검다리 연휴를 이용한 악성링크 삽입을 통한 공격이 이뤄진 것을 확인할 수 있다.
국가별 악성링크 도메인 통계로는, 미국이 22건으로 전체 도메인의 45.8%를 차지하고 있으며, 한국 11건(22.9%), 중국 10건(20.8%)으로 집계됐다. 그 외에도 스웨덴 국적 도메인이 처음 4건(8.3%)이 출현했으며, 홍콩도 1건(2.1%)이 발견됐다.
장윤정기자 linda@etnews.com