"악성코드, 전년보다 2배 이상급증"

올 상반기 악성코드와 스파이웨어가 전년보다 두배이상 급증한 것으로 나타났다.


10일 안철수연구소 (64,400원 0.00%)가 발표한 상반기 7대 보안이슈에 따르면, 올해 상반기 국내에서 새로 발견된 악성코드와 스파이웨어는 모두 1만580개로, 전년 같은 기간에 비해 2.4배 증가한 것으로 나타났다.

종류별로 트로이목마는 2.7배 급증했으며, 스파이웨어도 2.1배 늘었다. 이처럼 악성코드가 크게 늘어난데는 악성코드를 손쉽게 제작하고, 만들어진 악성코드로 자동 공격할 수 있는 툴들이 지속적으로 제작, 공유됨에 따른 것으로 분석된다.

안철수연구소측은 "이는 돈을 노린 범죄화 경향과 밀접한 관련이 있다"며 "해커들은 은밀하고 조직적으로 특정 시스템이나 조직을 겨냥한 국지적 공격으로 금진이득을 취하고 있는 실정"이라고 밝혔다.

특히, 올 상반기에는 ARP(Address Resolution Protocol; 주소결정 프로토콜) 스푸핑 공격으로 많은 기업들이 피해를 입었다. ARP 스푸핑 공격을 당한 PC는 동일 IP 대역폭에 있는 모든 PC를 악성코드에 감염시킬 수 있을 뿐 아니라 이 과정에서 네트워크 교란으로 기업 전산망 자체도 마비될 수 있어 주의가 필요하다.


최근에는 이러한 ARP 스푸핑을 악용하는 악성코드를 자동으로 제작해주는 자동화 툴이 널리 공유돼 피해규모가 더 커졌다.

또 최근 공격 유형은 윈도 시스템 관련 취약점보다는 대중적으로 사용되는 특정 애플리케이션으로 집중되는 현상을 보이고 있다.

이와함께 검색 엔진을 통해 공격 대상을 수집하고, 취약한 웹 서버와 연계된 데이터베이스의 모든 테이블에 악성 스크립트를 삽입할 수 있도록 설계된 '자동 SQL 인젝션' 툴을 이용한 공격도 많이 발생했다.

스파이웨어의 경우, 악성코드를 다운로드하는 프로그램을 숨기거나 스파이웨어의 삭제를 방해하는 기능을 가진 것들 것이 많이 발견됐다. 또한 분석 도구의 실행을 방해하고 분석을 어렵게 하는 스파이웨어가 다수 발견됐다.

도스(DOS) 시절의 전통적인 방법을 사용하는 악성코드도 증가해 큰 이슈가 됐다. 이러한 악성코드는 운영체제가 작동하기 전 자신이 먼저 실행되고, 파일이나 레지스트리 어디에도 존재하지 않는 것이 특징이다. 이 때문에 일반 사용자들이 감염 여부를 알기가 매우 어렵다. 또한 진단 치료하기도 매우 까다롭다.

한편, 올 상반기에는 특정 조직에 신뢰할 만한 발신인으로 위장해 메일을 보내 가짜 사이트로 유도해 악성코드 설치 및 아이디와 비밀번호 입력을 유도하는 스피어 피싱(Spear Phishing)도 급증했다. 취약점이 담긴 문서 파일을 보내 실행을 유도하기도 하는 일종의 피싱 공격이다.

또한 블로그(Blog)가 1인 미디어로 자리잡자 광고나 스파이웨어 배포 수단으로 악용하는 ‘스플로그(Spam + Blog)’ 또한 급증했다. 인기 검색어를 이용해 검색 엔진을 통해 방문을 유도하고 스파이웨어를 설치하거나 광고를 전달하는 것이다.

안철수연구소 시큐리티대응센터 조시행 상무는 "상반기에 나타난 보안 위협의 공통적인 특징은 예전처럼 금전적인 이득을 취하는 목적이 변하지 않고 지속되고 있다는 것"이라며 "또한 특정 목표를 정해 공격하는 국지적인 특성을 가지며 악성코드, 스파이웨어, 피싱, 해킹 등과 같이 다수의 위협이 동시에 피해를 준다"고 설명했다.

그는 "악성코드가 거래되는 사이버 암시장이 형성되어 있을 정도로 조직적인 범죄와 연결되고 있는 것도 새로운 추세"라고 덧붙였다.