좀비PC로 인한 트래픽, 지난해보다 60% 증가

패턴기반 웹사이트 탐지 한계...실시간 분석 통한 차단이 효과적

 

최근 웹사이트에 악성코드 삽입과 리다이렉션 코드로 인한 변조가 활발해지면서 기존에 수집된 데이터만으로 웹사이트를 탐지하기가 더욱 힘들어지고 있다.

기존의 시그니처 기반 탐지 기법은 이미 발견되고 정립된 공격패턴에 대해서 효과적으로 탐지할 수 있지만, 알려지지 않거나 입력되지 않은 패턴에 대해서는 탐지할 수 없기 때문이다.

 

▲ 1월 한달간 한국의 보안위협 분석결과(자료 : 웹센스)

 

한국에서 지난 1월 간 좀비PC가 C&C(Command&Control) 웹사이트에 접속하는 트래픽(C2.Backchannel.Web)이 2014년 평균 8.5%에서 68.7%로 크게 증가한 것으로 웹센스 분석결과 드러났다. 이는 지난해 평균보다 60%나 증가한 수치다.

 

C&C 서버는 악성코드에 감염된 좀비PC가 추가적인 명령과 코드를 내려받기 위해 사용자 몰래 주기적으로 접속하는 서버(또는 웹사이트)다.

 

또한, 해커에 의해 악성코드가 숨겨진 웹사이트(Malicious.Web.Realtime)는 보안이 취약한 웹사이트 가운데 27.5%인 것으로 밝혀졌다. 악성코드는 보통 하루 이내에 삭제되지만 사용자가 웹사이트에 접속하는 것만으로도 감염될 수 있기 때문에 주요 위협 요인으로 지적됐다.

리다이렉션 코드로 인해 사용자가 원하는 웹사이트가 아닌 외부 웹서버로 연결되면서 자신도 모르게 악성코드가 다운로드 될 수도 있다. 한동안 특정 언론 사이트가 이 기법의 타깃이 되어 논란이 된 적이 있다.

 

해당 공격유형 모두 해커에 의해 악성코드와 리다이렉션 코드가 빈번하게 삽입·삭제되어 웹사이트의 상태가 실시간으로 변경되는 유형이다. 이 때문에 기존에 수집된 데이터를 통한 시그니처 기반(패턴 기반) 탐지가 아닌 실시간 웹사이트 분석을 통해서만 악성코드에 대한 효과적인 차단이 가능하다.

 

출처 : 보안뉴스 http://www.boannews.com/

민세아 기자(boan5@boannews.com)