빛스캔, 공격자 서버 정보 매일 제공한다

일반입력 :2014/01/13 17:55

손경호 기자

빛스캔(대표 문일준)은 주간 단위로 제공하고 있는 정보 제공 서비스를 고도화해 다음달부터 '일일 C&C (서버) 정보'를 추가 제공키로 했다고 13일 밝혔다.

C&C 서버는 공격자들이 좀비PC들로부터 정보를 탈취하거나 분산서비스거부(DDoS) 등과 같은 공격명령을 내리는 곳으로 해당 서버의 IP주소 등을 알아내 차단 조치하면 추가적인 공격을 막을 수 있다.

빛스캔은 2012년 초부터 국내외 웹사이트를 통해 유포되는 '악성링크', 이를 통해 최종적으로 사용자에게 감염되는 '악성파일', 감염 이후 좀비PC로 이뤄진 네트워크(봇넷)에 연결하는 'C&C 정보'를 실시간 분석해 보고서 형태로 제공하는 서비스를 운영해 왔다.

문일준 빛스캔 대표는 그동안 일주일 단위로 제공하는 보고서에 더해 일일 단위로 C&C 정보를 업데이트해 고객들에게 보낼 예정이라고 밝혔다.

빛스캔은 지난 2012년 3.20 사이버 테러 이전 보고서를 통해 관련 위협이 증가하고 있다는 사실을 알렸으며, 6.25 사이버테러 직전인 5월 하순부터 6월 초순까지도 유사한 정보를 제공해 기업 및 기관에서 효과적으로 대응할 수 있는 성과를 가져왔다고 밝혔다.

이달 초 해외에서는 야후 광고서버 해킹을 통해 모든 야후 서비스 접속자들에게 악성파일을 감염 시도한 사례가 보도된 바 있다. 빛스캔에 따르면 우리나라는 해외보다 더 심각한 상황에 처해 있다.

올해부터 급증한 인터넷뱅킹 관련 해킹 피해 대부분도 웹서비스를 통해 불특정 다수 방문자를 감염시킨 악성파일들이 핵심적인 원인이 됐다.

빛스캔은 현재 국내 인터넷 환경은 매주 2천~3천여개 웹서비스에서 웹서핑만으로도 불특정 다수 PC들이 악성파일에 감염되는 상황이 계속되고 있다고 밝혔다. 또한 내부정보 유출 및 금융정보 탈취에도 직접 이용되고 있어 대안 없이 피해는 계속 증가할 것으로 예상된다.

악성파일 감염 이후 내부망을 공격하거나 자료유출을 하는 행위들은 대부분 지능형지속가능위협(APT) 유형으로 분류된다. 때문에 백신과 같은 기존 보안솔루션을 우회하는 것이 특징이다.

공격에 악용되는 악성파일은 백신이 대응하기 전에 동작해 PC를 감염시킨다. 감염된 PC를 찾기 위해서는 APT 솔루션을 활용하거나 인터넷침입탐지/방지시스템(IDS/IPS)에 C&C IP주소를 등록해 탐지할 수 있도록 해야한다.

별도 APT 솔루션을 활용하더라도 대규모 사용자가 존재하는 기업과 기관의 경우에는 모든 위험요소를 감지 한다는 것은 사실상 어려울 수밖에 없다.

이에 따라 빛스캔측은 내달부터 하루 단위로 제공하는 C&C정보들이 기업이나 기관내의 좀비 PC들을 손쉽게 찾아내고, 제거 하는 용도로 활용 할 수 있다고 설명했다.

관련기사

기존 보안 솔루션이 탐지하지 못하는 좀비 PC를 찾아내어 대응하거나, 봇넷에 연결하지 못하도록 차단하는 등 사전에 예방하는데 효과가 있다.

일일 C&C 정보는 엔터프라이즈 레벨 이상 구독자에게만 제공되며, 인터넷 위협이 증가할 때에는 악성파일 정보도 추가로 제공될 예정이다.