현재 조치 취해졌으나 향후 보다 철저한 보안 요구돼

[보안뉴스 호애진] 한국의 인터넷 전자상거래에서 온라인 뱅킹과 온라인 주식 프로그램은 상당히 많은 부분을 담당하고 있다. 다행스럽게도 그 동안 웹서비스에 대한 디도스 공격 이외에 특별히 드러난 보안위협은 없는 것으로 보고됐다.

그러나 12월 24일 크리스마스 이브를 기해 일련의 사건이 발생했다. 국내에서 사용자가 많은 파일공유 사이트 3곳에서 모든 방문자를 대상으로 악성코드를 감염시키기 위해 공격자에 의해서 소스코드가 일부 변경됐다.

그 결과, 애플파일, 예스파일, 본디스크 등 3곳의 파일공유 사이트를 방문한 모든 사용자에 대해 악성코드 감염 시도가 일어났고, 최소 60%의 방문자들이 악성코드에 감염됐을 것으로 추정되고 있다. 문제는 3곳의 파일공유 사이트에 추가된 악성링크로 국내 증권사의 웹서비스가 이용된 것.

이 증권사는 흥국증권이다. 악성코드 중계 정황을 처음 발견한 것은 보안업체 빛스캔으로, 이를 한국인터넷진흥원(KISA)를 통해 흥국증권에 통보했다.

흥국증권의 웹서비스가 방문자들에게 악성코드를 감염시키는 숙주로 이용된 것은 아니지만, 그 보다 더 심각하다고 할 수 있는 공격링크로 이용된 상황은 더욱 큰 위험성을 내포한다.

빛스캔에 따르면, 공격자들은 이미 흥국증권의 웹서비스 권한을 가진 상태에서 특정 디렉토리에 공격코드가 올려진 상태에서 악성코드를 중계한 것이다.

최종 설치 파일은 12월 24일 발견 당시 시점에는 국내 주요 백신들이 탐지하지 못했으며, 12월 26일 한 곳 정도만 탐지했던 것으로 나타났다. 또한, 12월 26일 새벽을 기해 최종 악성파일이 변경됐으며, 해당 파일은 모두 국내 주요백신을 우회하고 있는 상황이었다.

공격의 개요를 보면 다음과 같다.

최종 악성파일이 올려진 사이트 -> 흥국증권 웹서버에 올려진 공격코드 -> 파일 공유 사이트 세곳의 웹서비스 소스를 수정해 흥국증권에 올려진 공격코드가 실행되도록 변경

즉, 파일 공유 사이트를 방문하는 모든 사용자들에게 흥국증권에 올려진 공격코드가 실행되고, 최종 악성파일을 사용자 PC에 설치해 좀비PC로 만드는 구조다.

최종 설치된 악성코드는 사용자 PC에 ahnurl.sys , gdyoyutgsew.sys 드라이버 파일을 추가로 다운로드 받아 시스템에 등록하고 서비스를 실행하며, 다양한 시스템 설정들을 변경하는 형태를 보였다. 이를 통해 원격에서 완벽하게 통제될 수 있는 좀비PC로 이용됨을 알 수 있다.

웹서비스를 방문하는 즉시 사용자의 눈에는 보이지 않게 많은 링크들이 실행됐으며, 이 중 흥국증권에 올려진 공격코드들은 자바 취약성 5종류와 지난해 7월에 발표된 MS XML 취약성을 이용하고 있었다.

모든 방문자의 PC와 브라우저 버전에 맞춰서 공격이 자동으로 진행됐으며, PC상의 백신과 같은 보안도구들의 탐지는 우회한 상태에서 권한 획득을 했다. 이후 최종으로 아래와 같은 최종 악성파일을 아무런 제한 없이 사용자 PC에 설치하고 공격자는 자유자재로 활용할 수 있는 상태가 된 것이다.

문일준 빛스캔 대표는 “2012년 하반기에 들어서 사용자 PC에서 금융정보를 탈취하는 유형의 악성코드들이 급증하고 있다. 웹을 통한 대규모 악성코드 유포가 발생하고 있고 앞으로 더 확대될 것으로 예상된다”며, “특히, 금융정보를 사용자 PC에서 직접 빼내어가는 형태 이외에도 직접 해킹을 통해 악성코드 유포에 이용하거나 중계지로 이용하는 유형도 꾸준히 증가하고 있다”고 밝혔다.

이어 “흥국증권의 사건과 같이 증권사의 메인 웹서비스가 직접 악성코드 중계에 이용된 사례는 심각한 우려를 낳게 한다”면서, “가장 보안이 철저해야 할 금융기관의 웹서비스가 악성코드 유포를 한다고 해도 심각한 사안인데 지금의 경우는 악성코드 중계에 직접 이용된 것”이라고 강조했다.

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>