• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

국내 대형포털 인터넷쇼핑몰에서도 악성코드 감염 위험 2011.02.06

외부 이미지서버 통해 악성코드 감염 우려


  ▲쇼핑몰 제품소개에서 외부 이미지서버를 통해 이미지가 로딩 된 사례 ⓒ보안뉴스

[보안뉴스 오병민] 최근 대형 인터넷 쇼핑몰 제품소개에서 악성코드가 삽입된 사례가 증가하고 있는 것으로 파악돼 사용자들의 주의가 요구되고 있다.

 

이에 따라 보안 전문가들은 인터넷 쇼핑몰 이용 후 백신 검사를 통해 악성코드 감염여부를 확인할 것을 당부하고 있다.


국내 대형 포털사에서 운영하고 있는 A 인터넷쇼핑몰의 경우 상품사진이나 제품소개 이미지가 로딩 되면서 개인정보 유출이나 게임계정 유출 등 피해를 입을 수 있는 악성코드에 감염되는 것으로 확인됐다.

 

국내에서 개발된 웹 보안 스캔엔진 ‘웹새니타이저(WebSanitizer)’를 통해 악성코드 경유지를 추적한 결과, 대형 도메인호스팅업체에서 운영하고 있는 이미지서버에서 악성코드가 발견됐고 이 악성코드는 A 인터넷쇼핑몰의 제품 이미지파일과 연계돼 있었다. 


현재 이 사이트의 악성코드 경유지는 한국인터넷진흥원(이하 KISA)에 의해 차단된 것으로 파악되고 있지만 추가 경유지로 인해 동일한 피해가 나타날 가능성이 있어 사용자들의 주의가 요구되고 있다.


대형 인터넷쇼핑몰에 웬 악성코드?

국내 대다수 대형 인터넷쇼핑몰은 오픈마켓으로 운영하고 있다. 즉 수많은 소규모 판매자들이 대형인터넷쇼핑몰에 입주해 시장처럼 제품을 판매하는 것. 따라서 대형인터넷쇼핑몰들은 판매자들이 스스로 제품사진이나 정보를 업로드 해 상품을 판매할 수 있도록 하는 시스템을 제공하고 있다.


그러나 제품정보에 업로드할 수 있는 사진은 개수와 용량의 제한이 있기 때문에 많은 판매자들은  제품이미지나 제품정보를 외부 이미지서버를 빌려 저장해놓고 불러오는 방식을 이용하고 있다.


악성 공격자는 이런 점을 착안해 이미지서버를 해킹한 후 악성코드를 심고 구매자가 상품을 구매하기 위해 제품설명을 볼 때 이미지와 더불어 악성코드 유포지도 함께 열리도록 하는 방법을 이용한 것으로 파악됐다. 즉 사용자는 단지 상품 설명만 봤을 뿐인데 악성코드에 감염되는 것.

 

▲쇼핑몰 상품의 소개의 이미지 링크에 삽입된 악성코드 ⓒWebSanitizer


이에 대해 보안업계의 한 전문가는 “대형인터넷쇼핑몰에 입주한 많은 판매자들은 보다 많은 제품설명과 제품이미지를 보여주기 위해 외부 이미지서버에서 이미지를 불러오고 있다”면서 “공격자들은 이를 악용해 미리 이미지서버를 컨텐츠를 변조하여 악성코드 경유지에 연결되는 악성코드를 심어 감염을 유도한 것”이라고 설명했다.


A 쇼핑몰의 경우에는 경유지를 차단해 피해를 막을 수 있었지만 유포지를 통한 경유지의 확산이 상상이상으로 빨리 이뤄지고 있는 것으로 알려지고 있어 근본적인 대책이 필요하다는 의견이 제기되고 있다.


경유지 확산 단 6시간이면...

악성코드의 확산 상황을 측정하기 위해 2010년 10월 3일부터 11월 4일까지 국내외에서 자주 감염되는 사이트를 웹새니타이저로 분석한 결과 약 2~3일 간격으로 새롭게 악성코드가 유포되는 것으로 파악됐다.

▲악성코드 출현시 확산 빈도 ⓒWebSanitizer

유포지에 대한 공격 형태는 SQL 인젝션(Injection) 취약점이나 ARP 스푸핑(Spoofing) 공격을 통한 콘텐츠 변조로 추측되고 있다. 공격 코드는 주로 인터넷익스플로러(IE)나 윈도우의 제로데이 취약점을 이용하는 공격이며, 안티바이러스와 최신 보안패치가 되지 않은 시스템에서는 웹사이트 방문시 자동으로 악성코드가 다운로드 돼 감염되는 ‘drive-by-download’ 형태인 것으로 전해지고 있다.


이렇게 유포된 악성코드는 △온라인게임의 계정정보 탈취나 △DDoS 공격을 위한 봇(원격 조정 백도어 역할)을 만드는 것이 주목적인 것으로 파악되고 있으며 추가적으로 통계 분석용 링크를 추가해 사용자의 PC 정보(IP, OS, Browser 등)를 수집함으로써 공격의 성공률 등의 세부적인 공격 통계 정보 수집을 통해 현재 공격뿐만 아니라 차후 공격을 진행하기 위한 참조 정보로 이용되는 것으로 전문가들은 분석하고 있다.


이어 3시간을 주기로 대상 웹사이트를 분석하여 악성코드 유포지가 얼마나 빠른 확산 속도를 보이는지 분석한 결과 약 3~6 시간 이내에 많은 수의 웹사이트가 거의 동시에 감염돼 악성코드 경유지로 이용되는 것으로 확인됐다.

 

▲악성코드 경유지 증감 비율 ⓒWebSanitizer

 

이와 관련해 한 보안 전문가는 “이는 특정 집단이 수십여 개의 웹사이트를 동시에 조정하거나 감염시킬 수 있는 방식이나 시스템을 보유하고 있는 것으로 추정된다”면서 “이런 상황은 특정집단이 금전을 목적으로 한 계정정보 및 개인정보탈취나 DDoS 공격이 나타날 수 있는 단서가 될 수 있기 때문에 국내 인터넷 안전을 목적으로 한 적극적인 대처가 필요한 상황”이라고 주장했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>