지능형지속위험(APT) 공격용 악성코드가 다수 등장했다.
이번에 다수 발견된 APT공격용 악성코드들은 APT용으로 추정되는 내부망 네트워크 대역폭을 스캔하는 행위를 한다. 추가적인 행위를 하는 악성코드를 받도록 다운로더 기능까지 포함돼 있다.
빛스캔, KAIST 사이버보안연구센터, 정보보호대학원이 공동으로 발표한 `8월 2주차 국내 악성코드 동향` 보고서는 APT 유형의 악성코드가 웹서비스를 통해 대량으로 유포하는 것이 발견돼 대응이 시급하다고 밝혔다. 전체적으로는 신규 악성링크 수치도 전주 대비 증가해 개별 PC사용자들의 각별한 주의가 필요하다.
빛스캔은 “올해 초 많이 발견되었던 APT 악성코드는 감염 컴퓨터의 보안정책을 비활성화시키고 추가적으로 취약한 서비스를 실행시켜 공격할 수 있도록 한다”며 “APT 악성코드가 발견된 IP대역 차단이 시급하다”고 경고했다. APT 공격 코드가 내려오는 도메인명은 수시로 변경되고 있지만 IP 주소는 120.72.38.220으로 동일하다. 중국에 위치한 IP로 파악되며 해당 IP를 차단해 피해를 줄이는 것이 좋다.
이번주 주요 감염 취약점으로는 CVE-2012-1723(32건, 22.9%), CVE-2012-05071(31건, 22.1%), CVE-2011-35441(31건, 22.1%), CVE-2012-1889(24건, 17.1%), CVE-2012-0754(22건, 15.7%) 순으로 각각 집계됐다. 또 악성링크의 유포에 사용된 취약점 통계를 살펴보면 자바 애플릿 취약점인 CVE-2012-1723(32건, 22.9%), CVE-2012-0507(31건, 22.1%), CVE-2011-3544(3건, 22.1%)가 많이 사용됐으며, MS 취약점인 CVE-2012-1889(24건, 17.1%), 플래시 취약점인 CVE-2012-0754(22건, 15.7%) 순으로 각각 집계됐다.
8월 2주차 전체 신규 악성링크는 32건이며 날짜별로는 8/6(월) 0건, 8/7(화) 0건, 8/8(수) 1건, 8/9(목) 1건, 8/10(금) 14건, 8/11(토) 11건, 8/12(일) 6건으로 집계됐다. 전주와 비교하면 금요일, 토요일, 일요일을 포함하는 주말에 악성링크 수가 증가한 것으로 보아 위협이 높아진 것을 알 수 있다.
국가별 악성링크 도메인 통계로는, 미국이 24건으로 전체 도메인의 71%를 차지하고 있으며, 한국 7건 20.6%, 중국 3건 8.9%로 집계됐다.
장윤정기자 linda@etnews.com