침해사고/위협동향

사이버공격자, 연말 특수 노리나…멀웨어넷 움직임 ‘확산’

이민형

[디지털데일리 이민형기자] 전자금융서비스 사용자들의 금전을 노리는 공격자들의 움직임이 심상치 않다. 지난주부터 악성코드 대량유포에 사용되는 멀웨어넷(Malwarenet)의 활동이 크게 증가하고 있는 것으로 나타났다.

24일 빛스캔에 따르면, 수백여개의 웹사이트를 한번에 악성코드 유포지로 만들 수 있는 멀웨어넷이 발견됐다. 멀웨어넷을 통해 유포되는 악성코드는 디도스(분산서비스거부, DDoS), 파밍 등을 비롯해 공인인증서 탈취 등의 행위를 하는 것으로 조사됐다.

문일준 빛스캔 대표는 “올해도 지난해와 동일하게 11월 둘째주부터 멀웨어넷의 움직임이 활발해졌다. 이러한 추세는 내년 초까지 이어질 것으로 보인다”며 “이는 계절적인 요인과 더불어 크리스마스, 신년 등의 이슈로 인해 사용자들의 금전을 노리는 공격자들의 움직임이 거세지고 있는 것으로 예측된다”고 강조했다.

이어 “현재까지 1000여개 이상의 웹사이트가 멀웨어넷 영향권안에 있는 것으로 파악됐다. 본격적인 활동을 시작하면 그 피해는 기하급수적으로 커질 것”이라고 덧붙였다.

멀웨어넷은 공격자가 효과를 높이고 탐지를 회피하려고 활용하는 다단계 유포 네트워크다. 정상적인 사이트에 악성링크를 직접 삽입하지 않고 경유지와 유포지 등 몇단계를 거칠 수 있도록 설계한 링크를 삽입하는 형태로 악용된다.

공격자는 자동화된 도구을 사용해 웹사이트에 무의미한 링크를 아이프레임(iFrame) 등으로 삽입한다. 삽입된 링크는 해당 시점에서는 웹사이트에 아무런 영향을 끼치지 않으나 공격자의 조작에 의해 2차, 3차 경유지 등으로 연결돼 최종적으로 악성코드를 유포하게 된다.

즉, 공격자가 명령만 내리면 1000여개의 웹사이트가 즉시 악성코드 유포지로 변하게 된다는 의미다. 특히 멀웨어넷은 드라이브바이다운로드(DBD) 방식으로 사용돼 그 위험성이 더 크다. DBD 방식은 특정 애플리케이션을 설치하거나 파일을 내려받는 행위 없이 웹사이트 접속만으로도 문제가 발생할 수 있다.

멀웨어넷 탐지와 대응을 위해서는 국가기관과 인터넷서비스사업자(ISP) 등의 공조가 필요하다. 멀웨어넷이 활동을 하지 않는 시기더라도 해당 링크가 삽입돼 있는 웹사이트를 찾아내 이를 제거해야 하며, 활동이 탐지될 경우 이를 차단하는 체계도 마련해야 할 것으로 보인다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널