관련 통계자료 다운로드 3개월간 전세계 호스트네임 존속기간
하루살이 웹사이트가 악성코드 진원지였다.
블루코트코리아(대표 김기태)는 1일 ‘원데이 웹사이트 보안 위협 분석 보고서’를 내고 세계 웹사이트의 71%가 생성 후 24시간 안에 사라지며 이들이 악성코드를 유포하는 핵심 역할을 한다고 밝혔다.
블루코트는 지난 3월부터 6월까지 세계 7500만 사용자가 방문한 6억6000만개 호스트네임(네트워크에 접속되어 있는 각각의 컴퓨터 이름)을 분석한 결과, 71%에 해당하는 4억7000만개의 호스트네임이 1일 이내에 사라졌다고 분석했다. 이를 ‘원데이 원더(One-Day Wonders)’라고 명명했다.
단발성 호스트네임을 가장 많이 생성하고 있는 진원지는 구글, 아마존, 야후 등의 대형 사이트다. 이 밖에 콘텐츠 서비스 속도를 높이기 위한 웹 최적화 기업도 주요 원인으로 분석됐다. ‘원데이-원더’ 생성 사이트 상위 10곳에 최대 규모의 포르노 관련 웹사이트가 포함됐다.
원데이-원더를 생성하는 상위 50개의 페어런트 도메인(parent domain) 중 22%는 악성으로 조사됐다. 도메인은 새롭거나 알려지지 않은 취약점을 이용해 보안 솔루션 감시망을 벗어났다. 사이버 공격을 하거나 봇넷을 관리하는 용도로 쓰였다.
팀 반데르 호어스트 블루코트 수석 연구원은 “합법적인 ‘원데이 원더’는 사이트 구축의 필수적이지만 전체 규모의 상당량이 사이버 공격용 환경을 제공한다”며 “알려지지 않은 사이트를 빠르게 생성하고 제거하는 활동이 기존 보안망을 불안정하게 만든다”고 말했다.
사이버 공격에 사용되는 원데이 원더는 방대한 양의 도메인을 생성해 보안 솔루션 통제 범위를 벗어난다. 원데이 원더에 암호화를 적용해 악성코드를 작동시킨다.
블루코트는 자동화 된 실시간 인텔리전스 기반의 보안 솔루션으로 ‘원데이-원더’ 위험도를 즉각 파악해야 한다고 조언했다.
김인순기자 insoon@etnews.com