[디지털데일리 이민형기자] “한국은 악성코드의 유포 추이가 오르락내리락 하는 등의 톡특한 특징이 목격되고 있습니다. 이는 특정 목적을 가지고 특정한 시기에만 활동하는 공격자가 있기 때문으로 추정됩니다.”

맨키 보안전략가는 “지난해 하반기 한국에서 발견된 악성코드는 43만5000여종으로 이 중 6만5000여종은 PHP 백도어 공격, 6만여종은 시오톱(Shiotob, 사용자 입력정보 탈취기능) 악성코드로 나타났다”며 “주목되는 점은 이러한 악성코드가 일정한 주기를 가지고 활동한다는 점이다. 마치 파도(Wave)가 치는 것과 같은 양상을 보이고 있다”고 설명했다.

포티넷 보고서에 따르면 우리나라는 악성코드의 활동은 매우 역동적이다. 2014년 7월에 발견된 악성코드는 약 2만5000종인데 반해, 다음달인 8월에는 10만여종이 발견됐다. 그리고 11월에는 다시 3만여종으로 대거 낮아졌다.이러한 양상을 두고 맨키 보안전략가는 ‘파도’와 같다고 표현한 것으로 보인다.

그는 “한국에서 활동하는 봇넷도 특이한 양상을 보인다. 컨피커(Conficker), 마리포사(Mariposa)와 같은 전통적이지만 인기있는 봇넷이 가장 많이 활동한다”고 설명했다.

컨피커와 마리포사는 2000년대 후반 국내에서 크게 유행한 봇넷 악성코드다. 사용자PC를 감염시켜 스팸메일이나 디도스(분산서비스거부, DDoS)를 수행하게 원격조작하거나 내부에 저장된 데이터를 빼돌리는 기능을 가졌다.

포티넷의 분석은 최근 국내 인터넷보안 상황과도 맞물려 흥미롭다. 추석이나 크리스마스와 같은 시기에 파밍용 악성코드가 웹을 통해 대거 유포되는 정황이 한국인터넷진흥원과 국내 보안업체들에게 포착되는 것이 그 증거다.

지난해 11월 국내에서 100개 이하의 웹사이트를 조작할 수 있는 대형 멀웨어넷이 빛스캔에 의해 포착됐다. 멀웨어넷은 한번의 클릭만으로 수백개의 웹사이트에 악성링크를 심어 악성코드를 배포할 수 있는 일종의 봇넷이다. 당시 빛스캔은 약 1000개의 사이트가 감염됐을 가능성이 있다고 보고서를 제출한 바 있다.

이는 포티넷의 보고서 결과와도 유사하다. 지난해 국내에서 발견된 악성코드의 30%가 11월에 발견됐으며, 그 중 많은 수가 백도어와 입력정보 탈취, 파일 전송 등으로 나타났다.

맨키 보안전략가는 “한국의 경우 특정 웹사이트의 감염으로 폭발적인 확산이 발생하는 정황이 종종 포착되곤 한다”고 말했다.

한편 이날 맨키 보안전략가는 지난해 5월 포티넷, 팔로알토네트웍스, 맥아피, 시만텍이 공동으로 설립한 ‘사이버위협연합(Cyber Threat Alliance, CTA)’에 국내 기관, 기업들의 참여를 부탁했다.

그는 “CTA는 각국의 컴퓨터침해사고대응팀(CERT), 이동통신사, 보안업체들이 모인 사이버위협대응 연합”이라며 “한국의 KISA를 비롯한 여러 이통사, 금융회사, 보안업체들이 참여해 사이버위협에 지능적으로 대응할 수 있길 바란다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr