| 언론사 뉴스 댓글 속에 숨은 악성코드 지뢰밭! | 2013.01.30 | ||||
소셜 댓글 서비스 ‘티토크’ 악성링크로 악용...수많은 언론사와 연동 주말인 26일 뉴스 검색한 네티즌...PC 검사 및 보안업데이트 필수! [보안뉴스 김태형] 소셜 댓글 서비스인 티토크의 웹 소스에 악성코드를 유포할 수 있는 경유지 URL이 삽입되면서 이와 연동된 언론사 웹 서비스에 악성코드가 유포된 정황이 포착되어 뉴스 이용자들의 PC 점검이 요구되고 있다. 본지에서도 소셜 댓글 서비스의 보안 위험성에 대해 지적한 바 있는데, 그 문제가 또 다시 불거진 것.
▲ 티토크(TTalk)와 연동되어 있는 언론사 [출처: 티토크 홈페이지(http://ttalk.co.kr/)] 티토크는 픽플 커뮤니케이션이 제공하는 SNS 계정의 ID로 댓글을 작성해 자신의 지인들과 내용을 공유할 수 있도록 하는 신개념 소셜 댓글 서비스로, 티토크가 지원하는 소셜 커뮤니티 중에는 트위터, 페이스북, 구글 블로그 등 대부분의 SNS 서비스에서 활용된다.
국내 유명 기업뿐만 아니라 대부분의 언론사에 소셜댓글 서비스(티토크)를 제공하고 있고, 넓은 활용성 덕분에 악성코드 유포의 표적이 되고 있는 것. 빛스캔은 지난 1월 26일 새벽, 티토크의 웹 소스에 악성코드를 유포할 수 있는 경유지 URL이 삽입되어 약 145개 언론사 웹 서비스에 악성코드가 대규모로 유포된 정황이 빛스캔의 악성코드 유포탐지 시스템인 PCDS(Pre-Crime Detect System)에 포착됐다고 밝혔다. 빛스캔 관계자는 “특히 주말에 인터넷 쇼핑이나 언론사를 방문한 이용자들은 최근 발생한 신규 취약점을 활용하는 공격으로 인해 악성코드에 감염됐을 확률이 매우 높다”면서 “참고로 지난 19~21일에는 공통으로 사용되는 광고 서버의 링크를 유포지로 활용해 국내 커뮤니티 등 수십여 곳에 악성코드를 유포한 행위가 있었다”고 설명했다.
빛스캔에 따르면 감염율을 60%로 가정하고 단순하게 웹사이트에 일일 방문자수를 확인해 계산해보면 A사 방문자수(일일 평균방문자 최소 10만명 가정)×145개사=1,450만대에 이르고, 약 1,450만대가 접속됐을 것으로 가정하면 약 60%인 870만대가 좀비 PC로 감염됐을 것으로 추정할 수 있다는 것. 올해 악성코드의 공격동향을 분석해보면, 악성코드를 유포 또는 경유하는 링크수는 줄고 있는 데 반해 많은 사이트들이 공통적으로 사용하는 서비스를 대상으로 하는 공격이 집중되고 있는 것으로 알려졌다.
빛스캔은 동아닷컴 이외에도 전자신문, 세계일보, 아이뉴스24, 경기일보, 코리아타임즈, 데일리게임 등 유명 언론사 및 커뮤니티 사이트 등 확인된 사이트만 145개에 달한다고 밝혔다. 또한, 주말 동안 악성링크로 활용됐던 ttalk.pickple.com/xx/xxxxxx.js 사이트 내에 악성링크 1줄이 삽입되어 방문자수가 많은 국내 웹 서비스에 심각한 피해를 유발한 것으로 보인다.
▲ ttalk.pickple.com/xxx/xxxx.js 내에 삽입되어 있는 악성링크
▲ CVE-2013-0422 공격코드
▲ CVE-2012-4792 공격코드 ▲ CVE-2012-4792(IE 0-day) + CVE-2013-0422(Java 0-day) 악성링크 구조도
또한, 최종적으로 다운로드되는 악성파일을 분석한 결과는 다음과 같다.
◆ 목적: 게임계정 탈취 / 다운로더 1. %system%ws2help.dll 생성 2. IE를 후킹 후 게임계정 탈취 3. aprilmxxx.com/xxx/x.gif 에서 추가 악성코드 다운로드 요청 4. v3lite.exe로 변경 후 %temp%에 생성 위에 언급된 국내 언론사에 소셜 댓글 플랫폼으로 공통적으로 사용됐던 링크는 ‘ttalk.pickple.com/xx/xxxxx.js’이며, 대표적인 언론사는 아래와 같다. 구글에서 제공하는 스톱배드웨어(StopBadWare) 사이트에서도 공격 행태가 동일하게 포착되고 있으며, 아래 화면은 전자신문에 대한 정보를 조회한 결과다.
▲ 구글 세이프 브라우징에서 조회한 전자신문 사이트 정보 이와 관련 빛스캔 관계자는 “공격자가 국내 주요 웹사이트에 공통적으로 들어가 있는 소셜 댓글 플랫폼 링크를 활용해 공격코드를 삽입시켜 놓고 대량 유포통로로 활용하고 있다는 점은 매우 심각한 사안이며, 매주 반복되는 상황이지만 강도는 더욱 높아졌다”고 말했다. 또한, 그는 “주말 동안 인터넷 서핑 등을 통해 언론사 뉴스를 보았다면 감염됐을 확률이 매우 높다. 이에 따라 웹 서비스 관리자들은 반드시 확인이 필요한 부분”이라고 강조했다. 지난해 말부터 공격자들은 탐지를 회피하기 위해 국내 도메인을 악용하는 사례가 많이 증가하고 있다. 최근엔 경북대학교에 악성코드를 직접 올려놓은 정황이 포착되기도 했다. 경북대학교 사이트에 악성코드를 올려놓고 다운받게 함으로써 국내 정상 사이트라고 착각할 수 있게끔 만드는 치밀함을 보이고 있는 것.
이에 침해사고가 발생한 웹 서비스 기업 및 상장사는 홈페이지 등에 관련사항에 대해 충분히 알리는 등 위험에 적극적으로 대비해야 더 큰 피해를 막을 수 있다. 여전히 공격자는 은밀하고 대량 공격이 가능한 유포통로를 찾고 있다. 더욱 치밀하게 행동할 것으로 예상되며, 차단과 탐지가 어렵도록 악성링크를 유포하고 있는 게 현재의 국내 인터넷 상황이다. 특히, 현재 벤더사의 패치가 이루어졌음에도 불구하고 여전히 IE, JAVA 취약점을 활용해 대규모로 유포되고 있다는 것은 그 만큼 성공확률이 높다는 것을 의미한다. 더욱이 국내외 백신을 우회하는 기능을 포함한 악성코드 및 자동화 공격도구가 출현하고 있어 단순히 백신만으로 대응은 불가능한 상황이 됐다는 게 빛스캔 측의 설명이다. 이와 관련 빛스캔 관계자는 “이처럼 빠른 공격에 대응하기 위해서는 우선 악성코드를 배포하는 유포지에서 빠르게 탐지하여 차단하는 것이 가장 좋은 방법”이라며, “이와 함께 이미 유포지나 경유지로 사용되고 있는 사이트의 사용자 접속을 네트워크 단에서 차단해 악성코드 감염을 예방하는 것이 필요하다”고 강조했다.
한편, 이번 티토크의 웹 소스를 통한 악성코드 유포정황을 포착해 본지에 제보한 빛스캔은 국내 120만개의 웹 서비스와 해외 10만여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
