세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
中 “1분기 바이러스 감염 컴퓨터 240만대...보안사건 2만건”
  |  입력 : 2018-04-06 09:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인터넷응급센터 “트로이목마·봇 감염 피해 컴퓨터 133만대”
변조 피해 웹사이트 1만 3,800여개...백도어 투입 웹사이트 약 9,000개


[보안뉴스 온기홍= 중국 베이징] 중국에서 올해 제1분기 동안 온라인상에서 바이러스에 감염된 컴퓨터 수량이 240만개를 넘어섰다고 중국 당국이 확인했다. 이 가운데 트로이목마 또는 봇(Bot)에 감염된 기기들은 133만대에 달했다.

중국 당국이 제1분기에 최종적으로 처리한 온라인 정보보안 사건은 2만건을 넘었다. 정보보안 사건 가운데 웹페이지 위조 사칭이 90% 안팎을 차지할 만큼 가장 많았다.

중국에서 제1분기에 변조 피해를 입은 웹사이트는 1만 3,800여개였고, 백도어(Backdoor)가 투입된 웹사이트는 약 9,000개, 중국 내 웹사이트를 사칭한 웹페이지(피싱 사이트)는 6,500여개로 확인됐다.

中 3월 온라인 바이러스 감염 컴퓨터 106만 여대
중국 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 인터넷응급센터)는 3월 마지막 주(3월 26일~4월 1일) 중국에서 인터넷 바이러스에 감염된 컴퓨터가 27만 8,000대로 확인됐다고 최근 밝혔다. 한 주 전 보다 25.1% 늘었다.

이 가운데 트로이목마 또는 봇에 감염된 기기들은 17만대로 한 주 전에 비해 50.2% 급증했다. 콘피커 웜(Conficker Worm) 감염 피해를 입은 기기들은 10만 8,000대(주간 0.8% 감소)였다.

▲ 3월 26일~4월 1일 중국에서 온라인 상 바이러스에 감염된 컴퓨터의 수량[자료=중국 국가인터넷응급센터]


3월 주간 별 바이러스 감염 피해를 입은 컴퓨터 수량을 보면, △3월 넷째 주(19일~25일) 22만 2,000대(주간 4.8% 증가) △셋째 주(12일~18일) 23만 3,000대(주간 32.1% 증가) △둘째 주(5일~11일) 17만 7,000대(주간 16.1% 증가) △첫째 주(2월 25일~3월 4일) 15만 2,000대(5.3% 증가)로 집계됐다.

전체 온라인 상 바이러스 감염 컴퓨터들 가운데 트로이목마 또는 봇에 감염된 기기들은 △3월 넷째 주 11만 3,000대(주간 9.5% 감소) △셋째 주 12만 5,000대(주간 78.6% 증가) △둘째 주 7만대(주간 47.4% 증가) △첫째 주 4만 7,000대(주간 41.3% 감소)였다.

콘피커 웜에 감염 피해를 입은 컴퓨터 수량은 △3월 넷째 주 10만 9,000대(주간 0.6% 증가) △셋째 주 10만 8,000대(주간 1.6% 증가) △둘째 주 10만 7,000대(주간 2% 증가) △첫째 주 10만 5,000대(주간 64.6% 증가)로 확인됐다.

또한 인터넷응급센터는 트로이목마 투입 웹사이트가 바이러스의 확산 근원지인 것으로 드러났다고 밝혔다. 이들 웹사이트와 관련된 도메인 수량은 3월 마지막 주 13개(외국 등록 23.1%)였다. 이들 웹사이트와 관련된 IP 주소는 3월 마지막 주 249개(국외 소재 93.2%)가 탐지됐다. 트로이목마 투입 웹사이트와 관련된 전체 도메인 가운데 ‘.com’의 비중은 3월 마지막 주 69.2%로 가장 많았다.

“中 3월 변조 피해 웹사이트 6,000여개...백도어 투입 4,600여개”
인터넷응급센터는 3월 마지막 주 중국 내에서 탐지한 변조 피해 웹사이트 수량이 746개로 한 주 전에 비해 18.5% 줄었다고 밝혔다. 3월 넷째 주에는 915개(주간 2.3% 감소), 셋째 주 937개(주간 36.7% 감소), 둘째 주 1,481개(24.6% 감소), 첫째 주에 1,965개(9.6% 증가)였다.

백도어가 투입된 것으로 확인된 중국 내 웹사이트는 3월 마지막 주 1,032개(주간 7.1% 감소), 넷째 주 1,111개(주간 8.1% 증가)였다. 셋째 주 1,028개(27.7% 증가), 둘째 주 805개(23.3% 증가), 첫째 주에 653개(1.2% 증가)로 집계됐다.

중국 내 웹사이트를 겨냥해 위조된 웹페이지는 3월 마지막 주 1,064개로 한 주 전에 비해 39.8% 감소했다. 3월 넷째 주에는 1,768개로 주간 135.4% 급증했고, 셋째 주 751개(주간 50.5% 증가), 둘째 주 499개(주간 73.3% 증가), 첫째 주에 288개(213% 증가)로 나타났다.

▲3월 26일~4월 1일 중국 내 변조 및 백도어 피해를 입은 웹사이트 수량과 피싱 사이트 수량
[자료=중국 국가인터넷응급센터]


이 가운데 정부 웹사이트(gov류)만 놓고 보면, 변조 피해를 입은 중국 정부 사이트는 △3월 마지막 주 16개(전체 변조 피해 웹사이트 중 2.1% 차지, 주간 38.5% 감소) △넷째 주 26개(점유율 2.8%, 주간 21.2% 감소) △셋째 주 33개(점유율 3.5%, 주간 3.1% 증가), △둘째 주 32개(점유율 2.2%, 주간 6.7% 증가) △첫째 주 30개(점유율 1.5%, 주간 3.4% 증가)에 달했다.

백도어가 투입된 정부 웹사이트(gov류)는 △3월 마지막 주 14개(전체 백도어 투입 사이트 중 1.4% 차지, 주간 6.7% 감소) △넷째 주 15개(점유율 1.4%, 주간 53.1% 감소) △셋째 주 32개(점유율 3.1%, 주간 88.2% 증가) △둘째 주 17개(점유율 2.1%, 주간 41.7% 증가) △첫째 주 12개(점유율 1.8%, 주간 200% 증가)로 파악됐다.

중국 내 웹사이트를 겨냥해 위조한 웹페이지 관련 도메인 네임의 경우, 3월 마지막 주에는 471개, 넷째 주에는 986개, 셋째 주 332개, 둘째 주 424개, 첫째 주 250개로 확인됐다. 사칭 웹페이지와 관련된 IP 주소는 3월 마지막 주 163개(IP 1개당 평균 7개 사칭 웹페이지 가짐), 넷째 주 170개(IP 1개당 평균 10개 사칭 웹페이지), 셋째 주 142개(IP 1개당 평균 5개 위조 웹페이지), 둘째 주 147개, 첫째 주 97개로 집계됐다.

인터넷응급센터 “3월 정보보안 사건 3,755건 처리”, 은행 등 웹페이지 위조가 대다수
인터넷응급센터는 3월 마지막 주 중국의 3개 통신서비스업체, 도메인 등록서비스 기관, 모바일 애플리케이션 스토어, 전국 CNCERT 지사, 국제 협력 기관과 협력해 처리한 온라인 정보보안 사건이 529건이었다고 밝혔다. 3월 넷째 주에는 904건, 셋째 주 846건, 둘째 주 726건, 첫째 주에 750건으로 최종 확인됐다.

이 가운데 중국과 외국에 걸쳐 벌어진 정보보안 사건은 3월 마지막 주 130건(센터가 외국 기관과 협력 처리한 중국내 신고 사건 111건, 국내 기관 협조해 처리한 국외 신고 사건은 19건), 넷째 주 316건(외국 기관과 협력 처리 중국내 사건 304건, 국내 기관 협조 처리 국외 사건은 12건)에 달했다. 셋째 주에는 188건(외국 기관과 협력 처리 중국내 사건 173건, 국내 기관 협력 처리 국외 사건 15건), 둘째 주 304건, 첫째 주 226건에 달했다.

정보보안 사건의 유형에서는 ‘웹페이지 위조 사칭’이 압도적으로 많았다. 센터가 국내외 도메인 등록 기관 및 해외 CERT와 협조해 중점 처리한 웹페이지 위조 사칭 신고 사건은 3월 마지막 주 483건으로 전체 정보보안 사건의 91.3%를 차지했다. 3월 넷째 주에는 863건(점유율 95.5%), 셋째 주 769건(점유율 90.9%), 둘째 주 625건(점유율 86.1%), 첫째 주 702건(점유율 93.6%)이었다.

이어 ‘정보보안 취약점’은 두 번째로 많은 점유율을 보였는데, 3월 마지막 주 4.9%, 넷째 주 4.0%, 셋째 주 7.6%, 둘째 주 12.3%, 첫째 주 5.6%를 기록했다.

이밖에 3월 마지막 주에 △악성 프로그램 1.5% △서비스거부 공격 0.8%(셋째 주 0.5%, 둘째 주 0.1%) △웹사이트 백도어 0.6%(넷째 주 0.2%, 셋째 주 0.1%, 둘째 주 0.1%) △웹페이지 변조 0.4%(넷째 주 0.2%, 둘째 주 0.8%, 첫째 주 0.9%) △모바일 인터넷 악성 프로그램 0.2%(넷째 주 0.1%, 셋째 주 0.1%, 둘째 주 0.3%) △악의적 모니터링·스캔 0.2%(셋째 주 0.2%) △불법 방문 0.2%(셋째 주 0.2%, 둘째 주 0.3%, 첫째 주 0.1%) 따위의 보안 사건들이 일어났다.

▲3월 26일~4월 1일 중국 내 정보보안 사건 유형과 비율[자료=중국 국가인터넷응급센터]


웹페이지 위조 사칭의 대상 중에서는 은행이 압도적으로 많았다. 은행 (웹사이트)를 사칭한 정보보안 사건은 3월 마지막 주 448건, 넷째 주 769건, 셋째 주 547건, 둘째 주 549건, 첫째 주 582건으로 집계됐다.

이어 정부 공익을 사칭한 사건의 경우, 3월 마지막 주 22건, 넷째 주 71건, 셋째 주 213건, 둘째 주 60건, 첫째 주 111건이었다. 인터넷 서비스 업체 사칭 사건에서는 3월 마지막 주 7건, 넷째 주 2건, 셋째 주 3건, 둘째 주 2건, 첫째 주 9건이었다. 이밖에 미디어 사칭 사건은 3월 마지막 주에 1건, 둘째 주 4건이 각각 확인됐다.

인터넷응급센터는 3월 마지막 주 1곳(넷째 주 4곳, 셋째 주 14곳, 둘째 주 13곳, 첫째 주 2곳)의 모바일 애플리케이션 스토어 및 악성 프로그램 투입 도메인 쪽과 협력해, 모바일 인터넷 악성 코드를 퍼뜨리는 악성 URL 링크 1개(넷째 주 4개, 셋째 주 25개, 둘째 주 32개, 첫째 주 2개)를 탐지해 처리했다고 밝혔다.

中 2월 온라인 보안 위협 상황
인터넷응급센터는 지난 1월과 2월 인터넷 보안 상황이 전체적으로 ‘양호’했다고 평가했다. 센터는 “1월과 2월 중 네트워크 운영은 전체적으로 안정적이었으며, 비교적 큰 온라인 보안 사건은 일어나지 않았다”고 밝혔다.

지난 2월 중 인터넷 네트워크 보안 환경 면에서 트로이목마 또는 봇이 제어한 서버 IP 주소 수량, 중국내 웹사이트를 사칭한 IP 수량, 온라인 보안 사건 보고 수량은 1월에 비해 모두 감소했다고 센터는 밝혔다. 다른 유형의 온라인 보안 사건 수량도 1월과 견주어 하락했다. 전체적으로 2월 공공 인터넷 네트워크 보안 상황은 1월에 비해 호전됐다고 센터는 덧붙였다.

2월 중 중국에서 온라인 바이러스 감염된 기기는 약 52만개라고 밝혔다. 전월에 비해 37.5% 줄었다. 이 가운데 약 29만개 IP 주소에 해당하는 컴퓨터는 트로이목마 또는 봇에 의해 제어됐다. 전월(약 52만개)에 비해 44.4% 감소했다. 지역별 감염 수량을 보면, 저쟝성, 허난성, 광동성 순으로 전국 1위~3위를 차지했다.

이와 함께 2월 중 변조 피해를 입은 웹사이트는 3,678개로 전월에 비해 10.3% 감소했다. 지역별로는 광동성, 베이징시 허난성이 전국 1위~3위 안에 들었다. 변조 피해를 입은 정부 웹사이트(gov류) 웹사이트는 53개로 전체 변조 피해 사이트의 1.4%를 차지했다. 전월의 60개에 비해 11.7% 줄었다.

백도어가 투입된 웹사이트 수량은 1,718개로 한 달 전에 비해 34.1% 줄었다. 광동성, 베이징시, 허난성 순으로 전국에서 백도어 투입 웹사이트 수량이 많았다. 백도어 투입 웹사이트 유형으로는 ‘.COM’ 도메인류가 가장 많았고, 상업류 웹사이트가 다수를 차지했다. 백도어가 투입된 ‘GOV’ 도메인류 웹사이트는 28개였고 전체 백도어 투입 사이트의 1.6%를 차지했다. 전월의 116개에 비해 75.9% 감소했다.

중국내 웹사이트를 사칭한 웹페이지는 583개로 전월에 비해 62.5% 줄었다. 전월의 1,554개에 비해 62.5% 줄었다. 관련 도메인은 484개, IP주소는 167개였다. 1개 IP주소 평균 3개의 사칭 웹페이지를 갖고 있는 셈이다. 이들 167개 IP 가운데 99.4%는 홍콩과 미국에 있는 것으로 나타났다고 센터는 밝혔다.

CNCERT가 2월 중 국내외에서 접수한 온라인 보안사건 보고는 6,913건(스팸 메일류 사건 제외)이었다. 1월에 비해 34.3% 줄었다. 이 가운데 웹페이지 사칭류 사건이 2,059건으로 가장 많았다. 이어 보안 취약점류 사건은 1,874건이었다. CNCERT는 2월에 전체 보안사건 중 6,853건을 최종 처리했다고 밝혔다. 이 중 웹페이지 사칭류 사건이 2,027건, 보안취약점류은 1,866건이었다.

센터는 2월 중 국외 1,807개 IP 주소가 백도어 투입을 통해 중국내 1,718개 웹사이트를 상대로 원격 제어를 실시했다고 밝혔다. 이들 국외 IP 주소는 주로 미국, 러시아, 독일 등 국가와 지역에 있는 것으로 나타났다고 센터는 덧붙였다. 러시아발 IP 주소는 중국내 459개 웹사이트에 백도어 프로그램을 투입했고, 우크라이나와 미국 소재 IP주소는 각각 중국내 웹사이트 314개, 204개 웹사이트에 백도어 프로그램을 넣었다고 센터는 주장했다.

아울러 2월 중 국내외에서 트로이목마 또는 봇이 제어한 중국 내 서버 IP 수량은 9,001개였으며, 이 가운데 중국에서 트로이목마 또는 봇이 제어한 서버 IP는 1,660개인 것으로 집계됐다. 지역별로는 광동성, 베이징시, 상하이시 순으로 전국 1위~3위에 들었다. 국외에서 트로이목마 또는 봇이 통제한 중국 내 서버 IP는 7,341개로, 주로 미국, 브라질, 일본에 분포됐다고 밝혔다. 이 가운데 미국에 위치한 서버는 중국내 5만6,518개 컴퓨터 IP를 제어했다고 센터는 주장했다. 이어 홍콩과 네덜란드에 위치한 IP 주소는 각각 중국내 1만5,702개, 7,551개 컴퓨터 IP를 제어했다고 센터는 덧붙였다.

▲2018년 2월 중국 내 트로이목마 투입된 웹사이트 도메인과 IP[자료=중국 국가인터넷응급센터]


인터넷응급센터가 지난 2월 탐지한 상위 10위 이내의 트로이목마 투입 웹사이트 도메인들은 △i.kpzip.com △cl.urndf.com △www.go890.com △dl.urndf.com △dxdown.nonglirili.net △dl.apxlx.com △cl.qpzqxz.com △dl.qpzqxz.com △cl.apxlx.com △cl.gxjsxq.com 순이었다. 상위 10위 안에 든 트로이목마 투입 웹사이트 IP들은 △120.26.127.170 △43.242.181.16 △125.76.247.169 △117.23.6.63 △121.12.98.72 △220.181.105.173 △218.95.139.53 △117.23.6.65 △117.23.6.64 △122.72.35.190 순으로 나타났다.

中 1월 온라인 보안 위협 상황
인터넷응급센터는 지난 1월 중국 내 인터넷 보안 상황이 ‘양호’했다고 평가했다. 센터는 “기초 네트워크 운영이 전체적으로 안정적이었고, 비교적 큰 온라인 보안 사건은 일어나지 않았다”며 “하지만 트래픽이 많지 않은 일부 인터넷 인프라를 겨냥한 서비스거부 공격 사건이 있었다”고 밝혔다.

센터는 1월 중 중국에서 온라인 바이러스에 감염된 컴퓨터 기기는 약 83만개로 집계됐다고 밝혔다. 이 가운데 약 52만개 IP 주소에 해당하는 컴퓨터는 트로이목마 또는 봇의 통제 아래 놓였다. 이는 전월(약 44만개)에 비해 18.4% 늘어난 수치다. 지역별 감염 수량을 보면 광동성, 저쟝성, 허난성 순으로 많았다.

또 센터는 1월에 전 세계에서 약 216만개 컴퓨터 IP가 콘피커 웜에 감염됐으며, 국가 또는 지역의 감염 수량 상위 1위~3위는 중국, 러시아, 인도라고 밝혔다. 중국에서는 약 31만개 컴퓨터 IP가 콘피커 웜에 감염됐고 센터는 덧붙였다. 전월(약 32만개)에 비해 2.7% 줄었다. 지역 별 감염 수량 상위 3개 지역은 광동성, 저쟝성, 장쑤성이었다.

지난 1월 변조 피해를 입은 중국 웹사이트는 4,101개로, 12월에 비해 0.7% 하락했다. 이 가운데 변조된 정부 웹사이트는 60개(전체 점유율 1.5%)로 12월에 비해 18.9% 하락했다.

백도어가 투입된 중국 웹사이트는 2,606개로 전월에 비해 14% 감소했다. 이 중 정부 웹사이트는 116개(전체 점유율 4.5%)로 전월(77개)에 비해 50.6% 늘었다.

중국 웹사이트를 사칭한 웹페이지 수량은 1,554개로 12월(1,349개)에 비해 15.2% 증가했다. 사칭 웹페이지와 관련된 도메인은 1,215개, IP 주소는 454개였다. IP주소 1개당 평균 3개 사칭 웹페이지를 갖고 있는 것으로 나타났다. 이들 454개 IP 가운데 98.9%는 홍콩과 미국을 포함해 국외 있는 것으로 드러났다고 센터는 밝혔다.

지난 1월 국내외에서 트로이목마 또는 봇이 제어한 중국 내 서버 IP 수량은 1만 4,945개였다고 센터는 밝혔다. 이 가운데 중국 내 트로이목마 또는 봇이 제어한 서버 IP는 2,339개였다. 지역별로는 광동성, 베이징시, 저쟝성 순으로 전국 1위~3위에 들었다. 국외 트로이목마 또는 봇이 통제한 서버 IP는 1만2,606개로, 주로 미국, 일본, 홍콩에 분포됐다. 이 가운데 미국에 위치한 서버는 중국내 8만4,661개 컴퓨터 IP를 제어했다고 센터는 주장했다. 이어 러시아와 홍콩에 위치한 IP 주소는 각각 중국내 2만7,637개, 2만2,165개 컴퓨터 IP를 제어했다고 센터는 덧붙였다.

지난 1월 국외 1,041개 IP 주소가 백도어 투입을 통해 중국 내 1,306개 웹사이트를 상대로 원격 제어에 나섰다고 센터는 밝혔다. 이 가운데 국외 IP 주소는 주로 미국, 러시아, 모로코 등에 있는 것으로 나타났다고 센터는 덧붙였다. 러시아발 IP 주소는 중국 내 309개 웹사이트에 백도어 프로그램을 투입했고, 미국과 영국 소재 IP 주소는 각각 중국 내 291개, 278개 웹사이트에 백도어 프로그램을 투입시켰다고 센터는 밝혔다.

인터넷응급센터가 1월 중 국내외에서 접수한 온라인 보안사건 보고는 1만 515건으로 전월에 비해 11.2% 늘었다. 수량이 가장 많은 사건은 웹페이지 사칭류 사건으로 4,453건에 달했다. 이어 보안취약점류 사건 2,803건을 차지했다. 이 가운데 센터는 전국 각 지역 소재 센터와 협조해 최종적으로 9,560건의 온라인 보안 사건을 처리했다고 밝혔다. 이 중 웹페이지 사칭류 사건은 4,425건, 보안취약점류 사건이 2,484건이었다.

센터는 “온라인 상에서 바이러스들은 일부 보안 방어가 비교적 취약하고, 특히 방문량이 비교적 많은 웹사이트를 겨냥해서 웹페이지 내 트로이목마 투입 방식을 써서 퍼져 나갔다”고 설명했다. 센터는 또 “보안 취약점이 존재하는 컴퓨터들은 온라인 상에서 해커가 트로이목마를 투입한 웹사이트들을 방문한 이후 여러 번 건너뛰기를 거쳐 최종적으로 트로이목마 투입 웹사이트에 연결돼 바이러스를 내려 받게 된다”고 지적했다.

▲2018년 1월 중국 내 트로이목마 투입된 웹사이트 도메인과 IP[자료=중국 국가인터넷응급센터]


한편, 센터가 1월 중 탐지한 상위 10위 이내의 트로이목마 투입 웹사이트 도메인들은 △i.kpzip.com △cl.urndf.com △www.go890.com △dl.urndf.com △dxdown.nonglirili.net △dl.apxlx.com △cl.qpzqxz.com △dl.qpzqxz.com △cl.apxlx.com △cl.gxjsxq.com 순으로 포함됐다. 상위 10위 안에 든 트로이목마 투입 웹사이트 IP들은 △120.26.127.170 △43.242.181.16 △125.76.247.169 △117.23.6.63 △121.12.98.72 △220.181.105.173 △218.95.139.53 △117.23.6.65 △117.23.6.64 △122.72.35.190 순이었다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)