악성코드 유포지로 악용되는 국내 서버가 증가하고 있다. 공격자는 여러 악성코드 유포지를 미리 확보하고 있다가 악성코드 유포지가 차단되면 다른 악성코드 유포지를 통해 동일 악성코드를 계속 유포한다. 따라서 악성코드 유포지 그룹처럼 관리되는 유포지들을 한꺼번에 신속하게 차단할 방안이 요구되고 있다. 본 논문은 Path를 이용하여 동일 악성코드를 유포하고 있는 사이트 그룹을 탐지하는 방안을 제안한다. 악성코드를 유포하는 30개의 URL을 수집하였고, 해당 URL을 통해 악성코드를 내려받아 샘플화 하였다. 수집한 URL에서 Path를 분리한 후, 국내 IP와 조합하여 동일 악성코드가 탐지되는 웹 서버가 있는지를 실험하였다. 그 결과 각각 1개 이상의 다른 악성코드 유포지가 탐지되었고, 해시값이 다른 악성코드 1개도 탐지되었다. 따라서 본 논문에서 제안하는 악성코드 유포지 그룹 탐지 방안은 선제 대응 조치가 가능하여 추가 피해 예방에 도움이 될 것으로 기대한다.
The number of domestic servers used as distribution sites for malicious code is increasing. The attacker has several malicious code distribution sites in advance, and when one malicious code distribution site is blocked, the same malicious code continues to be distributed through other malicious code distribution sites. There is a need for a way to quickly block distribution sites that are managed like a malicious code distribution site group. This paper proposes a method to detect a group of sites distributing the same malicious code using Path. Thirty URLs distributing malicious codes were collected, and malicious codes were downloaded through the URL and sampled. After separating Path from the collected URL, it was combined with domestic IP to test whether there was a web server in which the same malicious code was detected. As a result, more than one different malicious code distribution site was detected, and one malicious code with different hash values was also detected. Therefore, the method for detecting malicious code distribution groups proposed in this paper is expected to help prevent additional damage by enabling preemptive response measures.