• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

국내 최대 인터넷서점 예스24, 책 아닌 악성코드 배송했나? 2013.01.04

지난해 12월 29~30일, 3차례에 걸쳐 악성코드 유포정황 포착!

공격자가 웹 소스 수정 통해 자유자재로 악성링크 변경·배포해


[보안뉴스 권 준] 국내 최대 인터넷서점 예스24 홈페이지(ww.yes24.com)에서 지난 연말인 29일과 30일 사이에 3차례에 걸쳐 악성코드를 유포한 정황이 포착돼 그 사이 예스24를 방문한 사용자들에게 적지 않은 피해가 발생했을 것으로 보인다.

국내 인터넷 서점 예스24 홈페이지에 지난해 12월 29일 밤 10시경 두 번째로 악성코드가 유포된 정황을 탐지한 화면. [자료 : 빛스캔]


지난해 12월 29일부터 오후 1시와 밤 10시, 그리고 30일 오후 6시경, 예스24 홈페이지에 백신 또는 보안 솔루션 탐지를 우회하기 위해 3번에 걸쳐 악성링크를 변경하면서 악성코드를 유포한 정황이 탐지됐다고 빛스캔 측은 밝혔다.


더욱이 12월 30일 오후 6시경에 발견된 악성코드는 국내외에 보고되지 않은 악성파일로 드러났으며, 백신 탐지 우회를 위해 웹사이트 통계에 주로 활용되고 있는 Google Analytics 서비스 도메인과 유사한 도메인 주소로 악성링크를 사용한 것으로 드러나 문제의 심각성이 더욱 크다는 지적이다. 


이와 관련 빛스캔 관계자는 “Google Analytics 서비스의 경우 웹사이트에서 많이 사용하고 있는 통계서비스여서 서비스 관리자들도 인지하기에 어려움이 있었을 것”이라며, “더군다나 이틀 만에 3회에 걸쳐 최종 악성파일과 악성링크를 변경하는 형태를 보이고 있다는 것은 감염 여부의 관찰, 탐지, 대응상황을 공격자들이 직접 모니터링 하고 있다는 것을 의미한다”고 설명했다.


예스24는 더 이상 설명이 필요 없는 국내 최대 인터넷서점이다. 1999년 국내 최초의 인터넷 서점으로 출발해 현재는 도서는 물론 음반과 DVD, 영화, 공연예매, e-북, e-러닝 등의 문화상품을 취급하고 있으며, 회원 수만 600만 명을 넘는 것으로 알려져 있다.


특히, 예스24의 경우 모든 서비스 모델이 온라인을 바탕으로 진행되기 때문에 공격자가 자유자재로 웹 소스를 수정하면서 악성링크를 변경하고, 악성파일을 배포하는 상황은 심각성이 매우 크다는 것. 


빛스캔 관계자는 “관리자 권한을 획득한 상황에서 내부로 침입하여 사용자 데이터베이스를 탈취하는 것은 매우 간단한 작업”이라며, “더욱 염려스러운 것은 공격자가 정체 노출을 하면서까지 악성코드 유포를 시도했기 때문에 다른 작업들은 이미 끝났을 수도 있다는 점”이라고 우려했다. 


더욱이 공격자들이 예스24에서 사용되는 공용 js 파일 내에 악성링크를 추가함으로써 예스24의 모든 웹 서비스에서 동시에 악성코드가 유포되도록 만들어진 것으로 빛스캔 측의 분석결과 밝혀졌다. 해당 악성링크에서 내려오는 악성파일은 다음과 같은 역할을 하는 것으로 분석됐다.

1. 아래의 파일을 생성하여 동작함

- C:\Windows\usp10.dll


2. 아래의 주소에서 추가 악성코드를 다운로드하려 함  

- http://www.regrxxx.com/

- http://www.jythffgxxxxx.com/

이와 관련 빛스캔 관계자는 “현재는 악성링크가 제거된 상황이지만, 근본적인 원인의 제거 없이 단순히 링크만 지우는 형태는 언제든 피해가 다시 발생될 우려가 있다”며, “이제는 피해를 미연에 방지할 수 있는 시스템으로 바뀌어야 한다”고 강조했다.


덧붙여 그는 “현재 예스24뿐만 아니라 국내에 수많은 웹 사이트가 탐지를 회피하고 추적을 어렵게 하려는 공격자들에 의해 악용되는 등 공격자의 손아귀에서 놀아나고 있다”며, “웹 서비스 소스 변경을 위해서는 서버 권한을 가지고 있어야만 가능한데, 공격자가 그 권한을 가지고 웹 소스에 코드 한 줄을 변경하여 모든 방문자들에게 악성코드 감염을 시도하는 방법을 취하고 있다”고 설명했다. 이를 통해 공격자들은 최소의 노력으로 최대의 공격효과를 노리고 있고, 공격자의 의도에 따라 악성파일을 추가할 수 있기 때문에 매우 위험한 상황이라는 얘기다. 


이번 악성코드 유포정황을 포착한 빛스캔은 국내 120만개의 웹 서비스와 해외 10만여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히, 전 세계적으로 공격이 매우 극심한 국내 인터넷 환경에서의 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있다. 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 한국과학기술원(KAIST)과 공동으로 정보를 제공하고 있으며, 관련 문의는 이메일(info@bitscan.co.kr)로 하면 된다.

[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>