단 한 번의 명령으로 최대 600곳에서 악성코드를 유포하는 거대한 ‘멀웨어넷(MalwareNet)’이 발견됐다. 단기간에 수천만대 PC가 악성코드에 감염돼 개인정보 유출과 사이버 공격 등에 활용될 수 있어 조치가 시급하다.
빛스캔(대표 문일준)은 7월 셋째주를 기점으로 최근 3년간 관찰한 가운데 가장 큰 규모의 멀웨어넷이 움직이는 것으로 확인됐다고 30일 밝혔다. 빛스캔은 소강상태였던 신규 악성링크 활동이 7월 둘째주를 기점으로 증가하기 시작했다고 분석했다. 국내 웹 서비스 전반에서 악성링크의 비정상 활동이 진행되고 있는 셈이다.
멀웨어넷이란 공격자가 효과를 높이고 탐지를 회피하려고 활용하는 악성코드 다단계 유포 네트워크다. 정상적인 사이트에 악성링크를 직접 입력하지 않고 경유지와 유포지 등 몇 단계를 거친 링크에 삽입한다. 추적을 피하고 유포효과를 극대화하기 위한 방법이다.
공격자가 단 한 번만 악성링크 내용을 변경하면 최대 600여곳에서 최소 10여곳에 이르기까지 동시에 동일한 악성코드가 유포된다. 최근 공격자는 주중과 주말 구분 없이 악성링크를 무차별적으로 유포 중이다. 인터넷을 가장 많이 쓰는 업무시간대에 악성코드를 유포한다.
이번에 발견된 멀웨어넷은 연결된 악성링크가 삭제되면 실제 웹사이트에선 아무런 악성 행위가 발견되지 않는다. 탐지와 대응을 매우 어렵고 지능화했다.
특히 여름 휴가철을 맞아 방문자가 많은 유명 여행사 사이트를 비롯해 제휴 쇼핑몰 여행 카테고리도 공격에 악용됐다. 여행사 웹사이트에 방문만 해도 개인정보를 유출하거나 파밍 사이트로 접속되는 드라이브 바이 다운로드(Drive by Download) 형태로 악성코드에 바로 감염된다.
문일준 빛스캔 대표는 “최대 600여곳에 달하는 웹사이트가 악성코드 유포지로 활용됐다”며 “기존에 사용된 멀웨어넷이 지속적으로 활용되지만 대응이 되지 않는 상황”이라고 지적했다. 그는 “시간이 지날수록 피해는 기하급수적으로 늘어난다”며 “조치가 시급하다”고 덧붙였다.
김인순기자 insoon@etnews.com