지난해 주요 방송사와 금융권 전산망을 마비시킨 3·20 사이버테러 1주년을 앞두고 국내 인터넷 위협 수준이 정상 범위를 넘어섰다는 경고가 나왔다. 3·20 대란이 일어나기 직전과 유사하게 악성코드 유포 사이트가 급증, 우려감을 자아내고 있다.
16일 빛스캔(대표 문일준)은 지난달 말부터 악성코드 유포지가 500여곳으로 급증했으며 공격 영향력이 높아져 인터넷 위협 수준을 4단계 ‘경고’로 상향 조정했다.
평상시 국내 인터넷에서 악성코드 유포지는 평균 200~300곳 수준인데 최근 두 배 이상 증가했다. 지난해 6월 25일 공격 이전에 악성코드 감염이 일어난 경인TV와 케이웨더가 다시 이용된 점도 주목할 만하다. 6·25 공격 때 날씨닷컴과 파일공유 사이트 몇 곳이 이용됐는데 최근 11곳이 넘는 파일 공유 사이트에서 악성코드 감염 시도가 증가했다. 경고는 공격이 발생하기 바로 전 단계를 의미한다.
최근 악성코드는 지난해보다 더 진화했다. 공격자는 국내에서 많이 사용하는 V3와 알약, 바이로봇 등 백신 우회를 시도하는 악성코드를 확산시켰다. 특히, 파일공유사이트 등 악성코드 유포 온상으로 지목된 사이트 대신 언론·방송사·날씨정보·인터넷주문배달 사이트 등 거리낌 없이 방문하는 웹을 유포지로 바꿨다.
빛스캔은 최근 경인TV(OBS)와 한경닷컴, 아시아뉴스통신, 미디어워치, 보안뉴스, 크리스천투데이, 주권방송 등 언론과 여의도순복음교회, 케이웨더, 쇼핑몰 등을 통한 악성코드 유포가 급증한 데 주목했다. 지난해 3·20 때도 언론사를 중심으로 공격이 확산됐다.
이들 사이트에 방문만 해도 PC가 악성코드에 감염돼 해커의 조정과 명령을 받는 좀비로 변한다. 문제는 안티바이러스 솔루션과 윈도 보안 업데이트를 모두 설치했다고 해도 PC가 좀비가 되는 것을 막을 방법이 없는 점이다. 자바나 어도비 플래시 보안 패치까지 모두 설치해야 감염 가능성을 그나마 낮춘다.
문일준 빛스캔 대표는 “언론사 사이트에 기사를 보러 방문만 해도 PC가 좀비로 변하는 악성링크가 비정상적으로 급증했다”며 “백신에 잡히지 않는 악성코드에 감염된 PC가 상상하는 것 이상으로 많을 것”이라고 설명했다. 그는 “특정일에 기존에 확보된 좀비 PC들을 대량 동원한다면 서비스거부공격(DDoS)뿐 아니라 다양한 위험이 발생할 수 있는 상태”라고 덧붙였다.
빛스캔은 보안위협을 예측하는 PCDS(Pre Crime Detect Satellite)로 국내 180만개, 해외 30만개 웹서비스를 관찰한다. 지난해 3·20과 6·25 사이버 테러 전 징후를 파악해 경고를 내린 바 있다.
김인순기자 insoon@etnews.com