변동성이 심한 한국의 위협 환경 조사
팀 레인스(Tim Rains) Microsoft

그림 1: 2012년 하반기, Microsoft 데스크톱 악성코드 방지 제품에서 검색 및 제거가 보고된 컴퓨터 수 상위 5개 지역의 변화 추이

한국의 위협 환경에 대한 문서를 작성하던 때, 2012년 상반기에 한국의 악성코드 감염률이 6배나 증가했다는 사실을 발견했습니다. 그때나 지금이나 한국은 수 년 간 전 세계에서 위협 환경이 가장 심각한 나라 중 하나입니다. 마이크로소프트 보안 인텔리전스 보고서(Microsoft Security Intelligence Report) 제 14권의 최신 데이터를 살펴보면 2012년 하반기에도 이러한 특징은 계속되고 있습니다. 그림 1에서 2012년 한 해 동안 한국을 포함한 위협 환경이 거센 여러 지역에서 감염 제거된 시스템 수를 각 분기별로 확인할 수 있습니다.

그림 2(왼쪽): 2011년 3분기(3Q11)에서 2012년 4분기(4Q12)까지 한국과 전 세계의 CCM 감염 추세. 그림 3(오른쪽): 2011년 3분기(3Q11)에서 2012년 4분기(4Q12)까지 한국과 파키스탄을 포함한 특정 아시아 지역의 CCM 감염 추세

그림 2에서 알 수 있듯이 마이크로소프트 윈도우 악성 소프트웨어 제거 도구(MSRT)로 한국 시스템 1,000대에 대한 악성코드 감염 제거를 수행한 결과, 제거가 수행된 시스템 수가 2012년 2분기(2Q12) 70.4대에서 2012년 3분기(3Q12) 27.5대로 감소했다가, 2012년 4분기(4Q12)에는 93.0대로 다시 증가했습니다. 2012년 4분기에 한국의 악성코드 감염률은 CCM(1,000번당 치료된 컴퓨터 수) 93.0으로, 이는 전 세계 평균 대비 5~15.5배나 더 높은 수치로 전세계 1위를 기록했으며, 그 동안 마이크로소프트 보안 인텔리전스 보고서에 나타난 악성코드 감염률 중 가장 높은 수치를 보였습니다.

또한, 그림 3을 통해 한국이 다른 아시아 지역 국가들보다 훨씬 높은 악성코드 감염률을 보유하고 있음을 확인할 수 있습니다. 한국의 악성코드 감염률은 전 세계에서 가장 높은 편인 반면, 일본의 악성코드 감염률은 전 세계에서 가장 낮은 수준입니다 그 이유에 대해서는 제가 이전에 작성한 글을 참고하시기 바랍니다. 그림 3에 파키스탄을 포함시킨 이유는 3Q12에 한국의 감염률이 27.5대로 감소했을 때 파키스탄의 악성코드 감염률은 30.6대로 전 세계에서 가장 높았기 때문입니다. 4Q12에 한국의 감염률이 93.0대로 증가했을 때 파키스탄은 26.8대의 CCM으로 2위를 차지했습니다. 4Q12에는 한국의 감염률이 파키스탄보다 3.5배 더 높았습니다. 

그림 4(왼쪽): 4Q12에 한국에서 검색된 멀웨어와 잠재적으로 제거될 가능성이 있는 소프트웨어 범주(탐색 내역을 보고한 컴퓨터 비율 기준). 그림 5(오른쪽): 4Q12에 한국에서 검색된 상위 10개의 멀웨어 및 잠재적으로 제거될 가능성이 있는 소프트웨어군

그나마 다행스러운 점은 이렇듯 매우 높은 한국의 악성코드 감염률이 사실 두 가지 악성코드 군에서 비롯된다는 것입니다. 그림 4를 통해 악성코드에 감염된 한국의 시스템 중 70% 이상에서 Misc 트로이 목마가 발견됐음을 확인할 수 있습니다.
또한 그림 5를 보면 Misc 트로이 목마 중에서도 Win32/Onescan이 한국의 높은 악성코드 감염률을 초래하는 주요 원인으로 꾸준히 작용하고 있다는 사실을 알 수 있습니다. 실제로 4Q12에 악성코드에 감염된 한국의 시스템 중 70.6%에서 이 트로이 목마가 발견됐습니다.

그림 6(왼쪽): Win32/OneScan 다운로드 사이트는 여기에 나와 있는 예와 유사할 수 있습니다. 그림 7(오른쪽): Win32/OneScan에 사용되는 것으로 알려진 브랜드

그 외에도 Siren114, EnPrivacy, PC Trouble, My Vaccine 등 다른 안티바이러스 공급업체의 이름을 가지고 동일한 위험을 일으키는 경우도 있습니다. Win32/Onescan은 악성코드 검사 프로그램으로 보이지만, 사실 악의적인 파일에 대한 허위 경고를 표시하는 사기성 검사 프로그램군입니다. 이 사기성 보안 소프트웨어는 사용자에게 결제를 마쳐야 소프트웨어를 등록하고 존재하지 않는 위협을 제거할 수 있다고 알립니다. 이는 한국 웹 사이트를 통해 배포되며 그림 6이 이와 같은 웹 사이트의 한 예입니다.

다행히 인터넷 익스플로어 8 이상 버전을 사용하면 브라우저에 기본으로 제공되는 스마트 스크린 필터가 이런 악성코드 다운로드를 자동으로 차단합니다. Win32/OneSca은 스마트 스크린 필터를 피하고자 alphavaccine, anycop, bestvaccine, bizvaccine, Bootcare, checkvaccine, cleanvaccine, coolspeed, defencevacci, directvaccine, diskvaccine , doublevaccine, DoubleVaccine, easyboan, easyvaccine, EnPrivacy, everyclean, everyguard, EveryGuard, fastcure, InfoDoctor, internetspeed, mastervaccine, MyKeeper, mypcclean, One Scan, onescan, PCTrouble, proguard, realsecurity, SmartVaccine, speedsolution, UtilKorea, windowcure, windowguard, windowvaccine , WindowVaccine 등 125개가 넘는 다양한 이름으로 배포됩니다.

한국의 극심한 악성코드 감염률을 야기하는 다른 위협은 Win32/Pluzoks입니다. Win32/Pluzoks는 트로이 목마 다운로더/드롭퍼입니다. 필자는 이 변종군이 가장 심각한 위협 중 하나라고 생각합니다. 시스템이 이 위협에 노출되면 공격자가 시스템 제어 권한을 확보할 수 있게 돼 공격자가 해당 시스템을 봇넷 목록에 올릴 수 있기 때문입니다.  Win32/Pluzoks는 사용자의 동의 없이 다른 임의 파일을 자동으로 다운로드해 설치하는 트로이 목마로, 일반적으로 다른 악성코드를 통해 설치됩니다. Win32/Pluzoks가 원격 호스트에 연결해 트로이 목마 업데이트를 다운로드할 수도 있습니다. 그림 5에서 알 수 있듯이 4Q12에 악성코드에 감염된 한국의 시스템 중 6.4%에서 Win32/Pluzoks가 발견됐습니다.

그림 8: 특정 지역의 악성 웹 사이트 통계(2012년 4분기)

일반적으로 악성코드 감염률이 높은 지역에서는 악성 웹 사이트 수준도 증가했습니다. 경우에 따라 공격자가 공격에 노출된 시스템을 사용해 악성 웹 사이트를 호스팅하기도 합니다. 그림 8로부터 알 수 있듯이 4Q12에 한국의 악성코드 호스팅 사이트는 전 세계 평균보다 훨씬 더 많았으며, 파키스탄을 포함한 대부분의 아시아 지역 중에서도 가장 많았습니다. 하지만 이는 4Q12 기간 동안 전 세계에서 가장 높은 수준은 아니었으며, 브라질(31.97), 우크라이나(26.78), 베트남(25.11) 등의 지역에서 한국보다 훨씬 더 많은 악성 웹사이트가 발견됐습니다.

그림 9: 4Q12에 Microsoft 멀웨어 방지 솔루션을 통해 가장 일반적으로 검색된 멀웨어 및 잠재적으로 제거될 수 있는 소프트웨어 변종군과 다양한 플랫폼에서의 유포 순위

악성코드, 어떻게 대비해야 할까?

• 흥미롭게도 4Q12에 최신 실시간 악성코드 소프트웨어로 보호되지 않은 한국의 시스템 비율은 21%였으며 이는 전 세계 평균인 24%보다는 긍정적인 수치입니다. 따라서 한국에서 취할 수 있는 신중한 조치 중 하나는 시스템에 설치된 악성코드 방지 소프트웨어로 Win32/OneSca이 검색, 차단, 감염 및 제거가 되고 있는지 확인하는 것입니다.  이 위협에 대한 검색 기능이 안티바이러스 솔루션에 없는 경우 안티바이러스 공급업체에 해당 검색 기능을 제품에 추가하도록 요청하십시오. Win32/OneScan에 대한 검색 기능이 추가되지 않은 경우에는 이 악성코드에 대한 검색 기능을 갖춘 대체 솔루션을 사용하는 것이 좋습니다.
• 한국에는 아직까지도 윈도우 XP(Windows XP)를 사용하고 있는 시스템이 많습니다. 윈도우 XP에 대한 지원은 2014년 4월 8일에 완전히 종료됩니다. 자세한 내용은 제가 최근에 작성한 2014년 4월 지원 종료 이후 윈도우 XP를 실행했을 때 발생하는 위험(The Risk of Running Windows XP After Support Ends April 2014) 글에서 확인할 수 있습니다. 그림 9에서 알 수 있듯 Win32/OneScan에 감염된 것으로 드러난 윈도우 XP 시스템이 한국에 매우 많습니다. OneScan은 전 세계 윈도우 XP에서 가장 많이 발견된 위협 요소입니다. 따라서 윈도우 7, 윈도우 8 등 최신 운영 체제로 업그레이드해 이런 위험을 반드시 방지해야 합니다.

Tim Rains
Trustworthy Computing
디렉터