▲ 악성링크 구조도

문 대표는 “해당 악성링크에서 내려오는 악성코드는, Java(6종)+IE(1종) 7개의 취약성을 사용한 것으로 분석됐으며, 현재 이슈가 되고 있는 게임계정 탈취, 개인정보 탈취, 금융정보 탈취 수법인 파밍이 활용되는 등 악성링크 및 악성파일의 진앙지로 자리매김하고 있기 때문에 매우 심각하다”고 덧붙였다.

빛스캔에 따르면 더존비즈아카데미는 과거부터 현재까지 ‘duzonbiz.co.kr/xx/xxxxxxx.xx’ 웹 사이트 내에 삽입된 기록을 보면 2011년 10월 18일부터 2013년 2월 13일까지 11차례 악성링크를 변경시켰으며, 악성링크 한줄에는 다양한 기능의 악성파일과 CVE(3544-0507-1723-4681-5076-1889-0442) 취약성들의 변화된 모습을 분석할 수 있었으며, 이로 인해 많은 방문자 PC가 감염됐을 것으로 추정하고 있다.  

이 모든 원인은 웹 사이트 내에 삽입된 악성링크 한줄로 인해 대량으로 뿌려지는 취약한 웹사이트에 있다는 것. 특히, 사용자도 모르게 드라이브 바이 다운로드(Drive-by-download)를 통해 다양한 기능을 가진 악성파일이 방문자 PC를 감염시키고, 공격자의 의도대로 개인정보, 금융정보를 탈취할 수 있는 파밍 사이트로 이어진다는 얘기다.  

문 대표는 “웹사이트 관리자가 간과하지 말아야 할 것은 웹사이트 내 비정상적인 링크들로, 공격자들은 이 비정상적인 링크들이 탐지장비들을 우회하고자 은밀히 자동화된 공격도구에 의해 삽입시켜 악성파일을 내려받게 하고 공격자가 원하는 기능의 악성파일을 내려 받아 공격자의 명령을 수행할 수 있도록 대기하게 한다는 점”이라고 강조했다.

즉, 웹사이트 내의 악성링크 한줄의 위력은 대단하고, 이것이 공격자의 뿌리가 되는 셈이다. 이에 무엇보다 중요한 것은 악성파일이 내려오는 근본적인 원인이 되는 곳이 어디인지 찾아내어 가장 상단을 막아버려야 한다는 것. 이를 통해 악성코드가 대량 유포되는 것도 막을 수 있으며, 악성파일도 차단할 수 있다는 게 문 대표의 설명이다. 

한편, 이번 악성코드 유포정황을 포착한 빛스캔은 국내 120만개, 해외 10만여 개의 웹서비스에 대해 상시적인 악성코드 유포상황을 모니터링 하고 있으며, 사전위협 탐지체계를 갖추고 KAIST 정보보호대학원과 공동으로 매주 수요일 한 주간의 국내 인터넷 보안위협 상황을 보고서 형태로 제공하고 있다. 관련 사항에 대한 세부적인 문의는 이메일(info@bitscan.co.kr)로 하면 된다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>