유포지 탐지는 감소 (전월 대비 8.3%, 508건 -> 466건), 경유지 탐지는 증가 (전월 대비 24.1%, 556건 -> 690건)
직접 배포보다는 취약한 곳 골라서 경유하는 방식이 늘었다는 의미로 생각해야 되나.
악성코드 유형을 보자면, 34%가 원격제어 유형, 그외 Dropper, 감염 PC 정보 탈취, 금융 사이트 파밍 등으로 확인된다고 한다. 34%가 원격제어 유형이라.. 제대로 한 번 분석을 해놔야할텐데..
대체로 유포할 때 사용한 취약점들은 5개로 볼 수가 있다고 한다.
MS IE / XML, Oracle JRE/Applet, Adobe Flash Plyer, PDF 취약점이 그것이다.
2013년 CVE만 확인해보자면, 아래와 같다.
IE 취약점 - CVE-2013-1347
Flash - CVE-2013-0634
Java Applet - CVE-2013-0422, CVE-2013-1493, CVE-2013-2423, CVE-2013-2465
PDF - CVE-2010-0188
MS XML - CVE-2012-1899
KISA에서는 경유지 업종별 유형에 대한 통계 값을 아래와 같이 산출했다.
1. 일반기업 : 어떤 기업? 그냥 일반 기업?
2. 쇼핑
3. 개인 홈페이지/블로그
4. 음식/숙박/관광
5. 교육/학원
6. 커뮤니티
7. 뉴스/방송/신문/언론/출판
뭐, 일반 기업이 45%, 쇼핑 12%, 개인홈페이지/블로그가 9% 이것들이 50%를 넘는다.
일반기업이라.. 역시 일반기업이 온라인에서 대외적으로 서비스를 제공하는 홈페이지에 대한 보안적인 관심이 부족하다는 것을 단편적으로 보여주는 건 아닐지 생각을 해본다.
주요 경유지 현황을 보면, 대북 사이트, 웹하드, 커뮤니티, 택배... (이놈의 노란..), 일반기업, 엔터테인먼트 회사, 연구소, 언론, 소셜 커머스, 교통, 교육, 광고, 게임 ... 이렇게 글로 적어보면, 많은 분야가 있겠지만, 주요 분야 관련한 사이트를 대부분 유포지로 잡아놓은 것 같은 생각이 든다.
KISA의 권고대로 홈페이지 내 삽입된 악성코드 유포지의 단순 삭제가 아닌 웹 취약점에 대한 정확한 진단 및 보안조치 등
장기적인 웹 보안 강화 방안이 필요할 것으로 생각된다.
KISA는 또한 단순 삭제 중심의 후속조치는 재감염이 지속적으로 발생할 수 있는 여지를 남기게 되고, 이는 홈페이지 방문자 등 타인에게 심각한 피해를 줄 수 있다고 말하고 있다.
위 글에서 사용된 모든 데이터는 "KISA 월간 악성코드 은닉사이트 탐지 동향보고서 9월" 자료에서 가져온 것임을 분명히 밝힌다.