전 세계 미보고된 신종 악성코드...게임 계정 탈취 목적

[보안뉴스 호애진] 한국게임산업협회와 지스타 웹사이트에서 올해 1월 2일 3시경 악성코드를 유포한 정황이 포착됐다. 한국게임산업협회(KAOGI)는 게임 산업에 관련된 전반적인 것을 담당하는 문화체육관광부 소관의 사단법인 협회이며, 지스타는 한국게임산업협회가 주관하고 개최하는 게임전시회다.

이는 빛스캔(대표 문일준)이 사전탐지예방시스템(PCDS, Pre-Crime Detect System)을 통해 발견했고, 공격을 분석한 결과 방문자들에게 게임계정을 탈취하는 악성코드를 대규모 유포한 것으로 파악됐다.

방문자들이 인터넷 익스플로러(IE)나 어도비 플래쉬, 자바 등이 최신으로 업데이트 돼 있지 않다면 악성코드에 감염이 돼 좀비PC가 된다. 지난 2012년 2월경에 공격자의 로그를 수집한 빛스캔의 분석 결과, 방문자의 약 60% 정도가 악성코드에 감염이 되는 것으로 확인됐다.

공격자는 관리자에게 발각되지 않기 위해 javascript 파일 안에 eval() 함수로 관리자가 파악하기 어렵도록 난독화한 코드를 삽입했다. 이 악성링크가 최종 악성코드가 있는 곳으로 연결해주는 것이다.

한국게임산업협회, 지스타 정상 파일내에 삽입된 악성링크 안에 지속적으로 악성링크를 변경하는 것은 웹 서버의 모든 권한이 있어야 가능한 일이다. 또한, 이렇게 악성링크를 지속적으로 변경하는 이유는 백신에 탐지되지 않고 회피하기 위한 목적이 크다. 심하면 1시간마다 악성링크를 변경하는 것을 확인할 수 있다.

공격자는 통계 기능을 추가하는 등 미리 준비한 방법을 통해 방문자의 숫자와 감염된 좀비 PC의 숫자를 비교하며 감염된 좀비 PC의 숫자가 낮아질 경우 새로운 악성링크로 교체해 백신의 탐지를 회피한다.

빛스캔에 따르면, 한국게임산업협회와 지스타 웹사이트에 삽입된 악성링크는 singr.xxxxxxx.com/xxx/Homepage/view.js 로 동일하다. 이는 동일한 공격자가 두 개의 웹 사이트를 해킹해 악성코드를 유포한 것이다.

사용자 PC 공격에 이용된 취약성은 자바 취약성 5종류와 MS XML 취약성이 이용됐으며, 사용자의 브라우저 버전과 취약한 애플리케이션 버전에 따라 실행하는 지능적인 구조로 구성돼 있어 방문자의 60%는 악성코드에 감염이 되는 상황이다.

빛스캔의 조근영 연구원은 “취약성 공격 이후 설치되는 악성코드는 전 세계에서 가장 악성코드 샘플이 많은 바이러스 토탈(VirusTotal)에도 보고된 바 없는 신종 악성코드로, 국내 사용자가 악성코드 감염 여부를 인식하기에는 매우 어려운 상태라 할 수 있다”고 밝히고, “지능적으로 탐지를 회피하기 위해 국내 사이트를 공격하고, 권한이 획득된 국내 사이트를 이용해 또 다른 국내 사이트를 공격하는데 이용하면서 신뢰관계를 이용하고 있다”고 덧붙였다.

이렇게 백신에 탐지되지 않는 악성코드가 웹사이트에 방문하기만 하면 방문자들에게 유포된다. 단지 웹사이트를 방문만 하고 브라우저 상에서 URL을 입력해 페이지가 뜨는 순간 내부에서는 공격코드가 자동으로 실행된다. 이 공격코드는 사용자 PC의 취약성을 직접 공격하며, 권한을 장악하고 좀비 PC로 만든다.

최종 다운로드 되는 악성코드는 크게 3가지 역할을 하고 있다. 첫째, 백신 무력화, 둘째, 게임 계정 탈취, 셋째, 게임 머니와 게임 아이템 및 문화상품권 계정 탈취다.

조근영 연구원은 “게임 계정을 탈취해 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있다”며, “심지어 도토리까지 훔쳐가는 등 돈이 되는 곳은 모두가 대상이 돼 있는 상태로, 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장될 것”이라고 우려를 표명했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>