• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

딴지일보·디씨인사이드가 악성코드 유포지?! 2012.12.03

국내 양대 커뮤니티에서 악성코드를 유포한 정황 포착

PC권한 장악, 트로이목마 설치, 게임계정 탈취 등 역할수행 악성코드

근본적인 해결 방안 및 단계적 피해 축소 방안 논의돼야


[보안뉴스 호애진] 국내 양대 커뮤니티라 일컬어지는 딴지일보와 디씨인사이드(이하 디씨)에서 악성코드를 유포한 정황이 포착됐다. 대규모 커뮤니티인 두 곳에서 최근 몇 주간 지속해서 주말을 틈타 순간적인 악성코드 유포가 계속되고 있어서 방문자들의 높은 주의가 필요한 상황이다.


공격자들은 항상 최대의 효과를 얻기 위해 방문자들이 많은 곳들을 대상으로 해 끊임없이 악성코드 감염을 시도한다. 그 대상에는 수많은 사이트들이 대상이 되고 있으며 웹서비스 방문자들은 그 어떤 인지도 없이 감염이 될 수밖에 없는 상황이 계속되고 있다.


공격자들은 방문자들이 많은 커뮤니티 사이트를 대상으로 웹사이트의 소스를 수정하거나 배너광고의 소스 내에 악성링크를 삽입해 놓고, 사이트에 방문자의 PC가 접속하는 순간에 즉시 브라우저의 버전과 Java의 버전을 체크하고 각 버전별 공격을 시도한다. 그러나 사용자들은 전혀 인지할 수가 없는 상태이며 감염여부도 확인할 수가 없다.


보안업체 빛스캔에 따르면, 지난 주말 양대 커뮤니티를 통해 유포된 악성코드들은 모두 Java와 IE 취약성을 이용해 사용자의 PC의 권한을 장악하고 트로이목마 설치와 게임계정의 탈취와 같은 역할을 수행하도록 돼 있다. 또한 추가적으로 기능을 다운로드 할 수 있는 코드들이 들어 있는 상태라 다른 형태의 위험도 계속되는 상황이라 할 수 있다.

 

▲ 자동화된 공격코드에 의해 생성되는 취약성별 공격루틴 - Gondad Exploit kit 적용


딴지일보의 경우에도 Gondad Exploit kit이 적용돼 모든 방문자들의 PC를 공격하고 권한을 획득했다. 다수의 Java 취약성과 MS XML Core service 취약성이 같이 활용돼 공격 성공률이 높을 것으로 예상된다.

 

▲ 딴지일보 웹서비스 방문 시 자동으로 실행되는 악성링크 기록


딴지일보를 통해 감염되는 악성코드들은 사용자 PC에 감염되는 시점에 백신의 실행여부 판별, 백신 서비스 중지를 기본으로 실행해 향후 발견 및 탐지도 되지 않도록 구성이 돼 있었다. 최종 악성파일의 경우 국내 주요 백신을 대상으로 해 우회하도록 제작돼 탐지도 제대로 되지 않은 것으로 파악되고 있다.

 

▲ 최종 파일의 국내 사용 주요 백신탐지 여부 결과


악성코드 유포와 관련된 이슈는 빛스캔의 탐지 이외에도 구글의 크롬 브라우저에서도 확인할 수 있는데 실제 유포 시기와는 차이가 있다. 다만 구글의 서비스를 통해서도 웹서비스 방문 시 사용자 동의 없이 다운로드 및 공격의 실행이 탐지됐음을 확인할 수 있다.

 

주말 내내 딴지일보와 디씨인사이드 커뮤니티는 수시로 악성코드 유포에 이용됐으며 디씨의 경우는 좀 더 치밀한 방법을 통해 악성코드 유포시도를 했다. 국내 도메인을 해킹한 이후 악성파일과 공격구조들을 올려두고 공격에 이용했으며, 교차로 디스플레이 되는 광고링크를 통해 악성코드 감염에 활용한 것으로 확인됐다.

▲ 디씨인사이드 악성코드 유포정황 포착

 ▲ 디씨인사이드 롤 배너 페이지에 삽입된 악성링크. 메인페이지에 롤배너 삽입됨


디씨인사이드 방문자에게 영향을 미친 악성링크는 사용자 PC를 공격하는 취약성 측면에서 최신 자바 취약성과 올해 6월에 발견돼 패치가 발표된 MS IE 8 버전을 대상으로 한 공격인 2012-1875 공격코드가 실행됐다. 감염 이후에 추가적인 파일들을 다운로드 받는 것은 확인됐으며 언제든 추가적인 공격코드들을 다운로드 받을 수 있는 상태로 계속 유지됨을 알 수 있다.


결론적으로 시스템의 모든 권한을 획득할 수 있는 형태의 악성코드들이 양대 커뮤니티를 통해 다수 감염시도가 발생됐으며, 해당 악성파일들은 모두 개인정보를 유출하거나 은행 피싱사이트로 연결되는 기능 이외에도 추가적인 공격코드들을 언제든 다운로드 받을 수 있는 상태를 유지함을 알 수 있다.


빛스캔 관계자는 “주말 내내 반복적으로 유포가 계속됐으며, 양대 커뮤니티의 경우 최근 몇 주간 지속해서 주말에 활동이 발견돼 대규모 좀비PC 확산을 방지하기 위해 위험성을 알린다”고 밝혔다.


이어 “좀비PC 감염을 피하기 위해서는 인터넷 서핑을 하지 않는 것이 최선이나 현재로서는 불가능한 방안이며 피해를 최소화 하거나 감염을 일부라도 회피할 수 있는 방안은 여러 종류의 백신을 사용하고 Java , Flash, IE 관련 취약성의 즉각적인 패치가 요구된다”며, “또한 크롬 브라우저를 사용해 악성코드 유포 히스토리가 있는지를 사전 체크함으로써 방문자 스스로가 노력하는 것이 필요하다”고 강조했다.


비용대비 효과 차원에서 공격자들은 항상 최대의 효과를 노릴 수 있는 곳을 공격하고 가장 효율적인 방법으로 목적을 달성한다. 현재 국내에서 발생되고 있는 인터넷상의 금전 및 사이버 사고 상당수가 감염된 좀비PC에 의해 발생되고 있으므로 근본적인 해결 방안과 단계적 피해 축소 방안에 대해서 시급한 논의가 필요한 시점이다. 


악성코드의 대규모 유포에 사용되고 있는 서비스들의 조기 발견과 제거, 근본적인 취약성의 제거, 감염된 좀비 PC에 대한 복구 등은 정보의 협력과 긴밀한 협조 체계를 통해서만 가능하므로 빠른 시일 내에 발전적인 논의가 이뤄지길 기대해 본다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>