개강시점 맞춰 정상링크 활용해 악성코드 유포...현재 조치완료!     

[보안뉴스 김태형] 일본어교육 전문기업 S일본어학원은 30여 년의 일본어교육 노하우를 바탕으로 다양한 프로그램을 통해 수많은 수강생들을 배출하고 있다. 최근 이 S일본어학원 홈페이지가 정상 URL을 이용해 악성링크를 유포하는 경유지로 활용된 정황이 포착되어 이용자들의 주의가 필요하다.

     ▲ S일본어학원 웹 사이트를 유포 링크로 직접 활용한 정황 포착

빛스캔 측은 “공격자는 3월 초, 개강이라는 적절한 시간을 간과하지 않는다. 공격자는 방문자가 많은 웹 사이트 내에 악성링크(비정상링크) 한 줄을 은밀하게 숨겨 놓고 방문자로 하여금 악성파일을 자동으로 다운받게 하여 방문자의 PC를 감염시켜 오고 있다”면서 “관리자가 쉽게 알아낼 수 없도록 정상적인 S일본어학원 URL 자체에 악성링크를 유포하는 경유지로 활용한 정황이 빛스캔의 악성코드 탐지 시스템인 PCDS(Pre-Crime Detect Satellite)가 포착했다”고 설명했다.

문일준 빛스캔 대표는 “해당 악성링크에서 내려오는 악성코드는, Java(6종)+IE(1종)+Flash(1종) 8개의 취약성을 사용하는 공다팩으로 분석됐다. 난독화된 코드를 풀어보면 최종 다운로드 링크는 ‘70.39.xxx.xx/nwe.exe’이고, 해당 악성파일은 요즘 이슈화가 되고 있는 ‘파밍’ 관련 악성파일”이라고 밝혔다.

     ▲ 악성코드 유포지로 직접 활용된 S일본어학원 링크 내에 난독화된 코드

또한, 그는 “앞서 언급한 바와 같이 S일본어학원의 내부 링크를 활용하고 있다. 이는 웹서비스 자체에 대한 해킹이 이미 완료된 상태이고, 그 결과로 악성코드 파일이 업로드되어 배포되고 있는 것”이라면서 “게다가 회원가입 등 개인정보를 보유하고 있는 웹사이트에서 이 정도 수준의 해킹 사고가 발생했다면 개인정보가 유출됐을 가능성도 있다. 개인정보를 빼간 이후 쓸만한 용도는 악성코드 유포 밖에 없다”고 우려했다.

“따라서 악성코드를 유포한 적이 있는 웹서비스는 보안부서의 협조를 받아 문제의 원인을 찾아 해결해야 한다. 해결하지 않는다면 그 피해가 고스란히 방문자에게로 돌아간다”고 문 대표는 강조했다.

이에 대해 S일본어학원 웹사이트 담당자는 “웹사이트를 통해서 악성코드가 유입되는 정황을 파악한 상태이며, 현재 이와 관련된 대응조치를 완료했다. 앞으로 좀 더 적극적인 보안대책을 마련할 것”이라고 말했다.

빛스캔의 PCDS는 비정상링크들을 빠르게 탐지해 사전에 예방하는 시스템이다. 빛스캔은 이 시스템에서 나오는 정보를 토대로 매주 인터넷 위협에 대해서 분석 보고서를 발행하고 있다. 보고서에는 국내 웹 서비스에서 발생하고 있는 최신 위협 및 동향에 대한 내용이 자세하게 기술되어 있다. 이 보고서에 대한 보다 자세한 문의는 info@bitscan.co.kr로 하면 된다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>