2011년 상반기 파급효과나 규모 면에서 가장 많은 피해를 입힌 악성코드 네트워크는 ‘Shnakule’인 것으로 나타났다. 블루코트 코리아(지사장 전수홍)는 21일 2011년도 상반기 주요 웹 기반 악성코드 생태계를 분석한 웹 보안 보고서를 발표하고, Shnakule가 올 상반기 가장 큰 피해를 줬다고 지적했다.

보고서에 따르면 Shnakule은 하루 평균 2000개의 호스트 네임을 가졌고, 때로는 4300개 이상의 호스트 네임을 가진 적도 있다.

또 드라이브 바이 다운로드(Drive-by-downloads: 사용자 모르게 다운로드 되어 실행되는 악성 프로그램), 허위 안티 바이러스 및 코덱, 허위 플래시와 파이어폭스 업데이트, 허위 와레즈, 봇넷ㆍ커멘드 및 컨트롤 등의 악의적인 활동을 펼쳤다.

이밖에도 음란물, 도박, 제약, 링크 팜 그리고 재택 근무 사기와 같은 활동과도 연계되기도 했다.

Shnakule은 그 자체로 단독 악성코드 전파 네트워크였을 뿐 아니라, 대규모의 악성코드 전송컴포넌트를 포함하고 있었다.

특히 Ishabor, Kulerib, Rabricote, Albircpana 같은 상위 10위권의 악성코드 전송 네트워크들이 Shnakule의 컴포넌트였고, 도박 관련 맬웨어나 의심스런 링크 팜 등의 유해 활동으로 그 영역을 확장했다.

이와 함께 보고서는 인터넷 상에서 사용자가 어떻게 악성코드전파 네트워크로 유입되는지 분석했다. 올해 상반기 가장 대중적인 악성코드 감염 매개체는 검색 엔진 포이즈닝(SEP:Search Engine Poisoning)으로 나타났다.

무려 40%의 악성코드 전파가 검색 엔진과 포탈을 통해 이뤄졌고, 같은 기간 동안 가장 많은 웹 분석 요청을 받은 것으로 밝혀졌다.

소셜 네트워킹은 상위 다섯 번째의 악성코드 네트워크 엔트리 포인트였고, 세 번째로 많은 웹 분석 요청을 받은 것은 콘텐츠였다.

동시에 이메일과 성인물 등의 고전적인 방법도 병행해 사용하는 것으로 나타났다. 특히 이메일과 음란물은 웹 분석 카테고리에서 각각 상위 17, 20번째이었지만 사용자를 악성코드 네트워크로 불러들이기 위한 가장 전형적인 웹 콘텐츠 카데고리였다.

이같은 보고서의 모든 데이터는 클라우드 기반 협업 방어 서비스인 블루코트 웹펄스(Blue Coat WebPulse)를 바탕으로 분석됐다.

전세계 7500만 이상의 사용자가 실시간 웹 방어를 위해 연결된 웹펄스는 매주 30억 개의 실시간 URL 요청을 분석하고, 각 URL에 카테고리를 적용해 웹 생태계에 대한 포괄적인 시각을 제공한다.

블루코트 코리아의 전수홍 지사장은 “2011년 상반기 웹 보안 보고서를 통해 웹 기반 악성코드가 얼마나 빠르게 지능화되고 있는지 다시 한번 확인할 수 있었다”며, “블루코트는 웹 펄스의 실시간 URL 분석 능력과 실시간 악성코드 및 사이트 카테고리 분류 능력을 바탕으로 사용자 환경과 비즈니스 특성에 최적화된 포괄적인 웹 보안 솔루션을 제공할 것”이라 말했다.

<정태일 기자@ndisbegin>

killpass@heraldcorp.com