이번 주에는 플래시(Flash) 공격 코드가 실전에 활용됐다.
아직 사용비율이 그다지 높은 것은 아니지만 최신 플래시 플레이어 패치를 내려 받아 설치해야 피해를 줄일 수 있다.
빛스캔, KAIST 사이버보안연구센터, 정보보호대학원이 공동으로 밝힌 9월 1주차 보안동향에 따르면 지난주 일부 발견됐던 플래시 공격코드가 실제 공격에 활용된 것으로 나타났다.
이 플래시 악성코드는 현재 기존 CVE 2012-1535와 유사한 취약성을 사용하는 것으로 확인됐다. 유사 취약성의 경우 어도비에서 올해 8월 14일 패치를 진행한 바 있다. PC 사용자의 플래시 플레이어 버전이 11.3.3 이전 버전을 사용하는 경우 반드시 최신 버전으로 업데이트가 해야 한다.
이외에 대규모 취약성 공격 세트 발생이 증가했다. 해당 취약성은 자바, 플래시, MS 취약성을 모두 활용, 감염율을 높이고 있기 때문에 심각한 주의가 필요하다. 또한 이번주에는 다운로더(추가적인 공격 혹은 악의적인 목적으로 별도 파일을 다운로드 받는 역할) 기능의 악성코드들이 웹을 통해 대규모로 유포된 것이 특징이다. 해당 다운로더는 최소 60여곳 이상의 서비스들에서 다단계 유포 통로로 사용자 PC에 감염을 시킨 상황이다.
이러한 형태의 악성링크 세트의 비중은 8월 5주차 23%에서 9월 1주차에 58%로 대폭 상승했다. 해당 악성링크 세트는 자바, MS의 IE, 어도비 플래시 플레이어 취약점을 모두 이용하고 있으므로 해당 애플리케이션 업데이트를 최신으로 유지해 기존 취약점을 제거하는 것이 좋다.
백신 업데이트 주소를 변경하는 기능의 악성코드도 금주 대거 발견됐다. 기업 및 기관에서는 해당 업데이트 주소 차단이 시급하게 요구되고 있다.(변경된 IP의 업데이트 주소는 참조)
9월 1주차 주간 공격동향으로는 신규 악성링크 24건, 악성링크 도메인 20건, 신규 악성코드 16건, 그리고 악성코드 유형이 5건으로 집계됐다. 주요 감염 취약점으로는 CVE-2012-1723 (22건, 22%), CVE-2012-0507 (22건, 22%), CVE-2011-3544 (21건, 21%), CVE-2012-4681 (18건, 18%), CVE-2011-1255 (13건, 13%) 순으로 나타났다. 신규 악성링크로 수집된 악성코드들은 루트킷 4건, 게임계정 탈취 15건, 봇 에이전트 1건, 다운로더 2건 등으로 분류할 수 있었다.
국가별 악성링크 도메인 통계를 분석한 결과, 미국이 17건으로 전체 도메인의 70.8%를 차지하며, 한국이 7건(29.2%)으로 그 뒤를 이었다.
장윤정기자 linda@etnews.com
