본문 바로가기
AhnLab 보안in

[ASEC 리포트 10월호] 전세계 3분기 악성코드 동향_국지적 성격 강화

by 보안세상 2020. 4. 5.

2008.10.20

 

현재 각 보안 업체 통계에 따르면 매일 2만개에서 - 2만 5천 개의 신종 악성코드가 발견되고 있다고 한다. 하지만, 이 글을 읽을 때는 3만개 혹은 그 이상이 매일 발견될 수도 있다. 악성코드 전파 경로는 과거 메일, 네트워크 취약점 이용 등의 고전적인 방법에서 웹사이트 방문을 통한 방법으로 변경되고 있으며 금전적 이득 목적으로 제작되어 각 지역별로 단기에 여러 변형을 끝없이 뿌리는 전략으로 나가고 있어 지역차와 악성코드 생존 시간이 짧아 특정 기간 동안 정확하게 전체적인 세계 동향을 내는 건 한계가 있다. 하지만, 각국 보안 업체의 발표 자료를 통해 2008년도 3분기 통계를 정리해 보면 아래와 같다.

우선 많은 백신 회사에서 자사에 유입되는 메일 혹은 포털 사이트와 협조해 메일을 통한 악성코드 집계 방법과 신고에 의한 집계는 실제 사용자 피해와는 거리가 멀다. 최근 이에 러시아 카스퍼스키연구소는 2008년 7월부터 자사의 최신 제품에서 진단 결과를 수집하는 기능 을 추가했다. 이에 실제 사용자가 감염되는 악성코드를 중심으로 새롭게 감염된 시스템 수와 감염된 파일 수로 새롭게 통계를 내게 된다. 따라서, 이전에 존재하면 메일로 전파되는 넷스카이(Netsky), 마이둠(Mydoom) 등의 매스 메일러 웜은 순위에서 사라졌다. 7월과 8월은 감염 시스템과 파일 수에서 압도적 1위는 Trojan.Win32.DNSChanger.ech로 DNS 서버 주소를 변경하는 악성코드이다. 하지만, 9월에는 순위권에서 사라졌다. 사용자 시스템에서 발견된 악성코드 종류는 7월에 20,704개, 8월에 28,940, 9월에 35,103으로 악성코드가 급속히 증가하면서 실제 사용자를 괴롭히는 악성코드도 계속 증가하는 것을 알 수 있다.

영국의 메시지 랩의 3/4분기 통계에 따르면 전체 메일 중 스팸은 70.1%, 악성코드는 131.7개 메일 중 1개, 피싱 메일은 288.1개 중 1개로 나타났다. 8월에 비해 각각 0.38%, 0.16% 소폭 줄어들었다. 악성 웹사이트는 하루에 3,660개가 차단되었는데 8월에 비해 22.8%가 증가한 것으로 메일을 통한 악성코드 수는 정체 상태이지만, 웹 사이트를 통한 전파는 계속 증가하고 있어 악성코드 전파 경로가 메일을 이용한 전파에서 웹사이트를 통한 전파로 전파 수단이 변하고 있다는 것을 추정할 수 있다. 웹에서 발견된 악성코드 중 1위는 Trojan-GameThief.Win32.WOW.bxi로 전체 악성코드의 23.2%를 차지했다. 월드 오브 워크래프트(World of Warcraft) 계정과 비밀번호를 탈취하는 트로이목마로 웹사이트를 통해 대량으로 뿌려졌음을 짐작하게 한다.

루마니아 소프트윈(비트디펜더)의 최근 90일 동안 악성코드 통계에 따르면 감염된 시스템은 Trojan.Clicker.CM이며 플래쉬 파일은 SWF 파일 취약점을 이용한 Exploit.SWF.Gen이 9위를 차지했다. 감염 파일 수에서는 Trojan.Vundo.Gen.2가 1위를 차지했는데 애드웨어 성격이 강한 트로이목마로 수많은 변형이 존재하는 것으로 알려져 있다. 이들 변형에 대한 통합 진단명으로 23.51%를 차지했다. 브론톡 웜(Brontok worm)이 7위와 9위를 차지하고 있는데 카스퍼스키연구소 통계에도 9월에 18위에 올라와 있다.

전체적인 순위에서 보면 집계되는 업체에 따라 순위가 제 각각임을 알 수 있다. 사실 이 순위가 통계를 내는 업체가 많이 팔리는 지역의 통계결과라고 생각하면 이해가 쉽다.