지오트는 지난 4일 국내 특정 광고 대행 사이트가 해킹돼 백도어가 유포중인 것을 발견해 해당 내용을 일본과 국내 유관기관에 제공한지 얼마되지 않아 또 다시 일본 사이트를 숙주로 활용한 공격을 국내 신문사 사이트에서 탐지했다고 11일 밝혔다.

해당사이트에 접속을 하면 해킹돼 추가된 iframe 코드가 실행되며, 해당 코드는 일본 대형 포털사이트에서 운영하는 개인 홈페이지 관련 사이트로 연결을 시도한다.

지오트 관계자는 “해당사이트 index.htm 파일에는 일명 중국발 해킹에서 사용된 것과 같은 형식으로 관리자가 알아보기 힘든 스크립트가 삽입돼 있다”며 “이 스크립트가 실행되면 1개의 파일(Exploit)이 실행돼 이 파일은 시스템폴더에 system_host.bat, system_hostKey.DLL (Backdoor.Win32.Hupigon.arg)와 system_host.DLL(Backdoor.Win32.Hupigon.arg) 파일을 설치한다”고 설명했다.

또한 그는 “설치되는 파일은 파일 숨김 기능(루트킷)이 있는 백도어 이다. 또한 윈도우 서비스에 추가해 재부팅시 자동으로 실행되도록 했다”며 “특히 개인 홈페이지 서비스를 통해서 지속적으로 악성 프로그램이 유포되고 있다는 것은 기존의 공격방식과는 다른 수법”이라고 밝혔다.

공격자는 자동화 도구를 습득 후 몇번의 클릭으로 보안에 취약한 서버를 찾은 후 개인 홈페이지 서비스를 제공하는 사이트를 숙주서버로 활용했다.

지오트 시큐리티 센터 관계자는 “문제는 숙주서버를 쉽게 개인 블로그 사이트에 구축해서 자동화 툴로 개인 블로그 주소를 적용해서 돌리면 문제가 심각해질 수 있다”며 “숙주서버로 무료 개인블로그를 이용하면 손쉬운 공격이 가능하고 이런 경우 개인홈페이지를 제공하는 포털업체에서도 탐지가 어렵다"고 밝혔다.

또한 그는 "이 처럼 숙주서버를 손쉽게 구축할 수 있는 상황이라면 해킹횟수는 더욱더 증가될 가능성이 크다”며 "인터넷 이용자들의 철저한 보안패치와 설치된 백신의 최신 업데이트가 요구된다”고 밝혔다.

[박은수 기자(boannews@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지.>