금융관련 개인정보 유출에 활용되는 파밍과 원격 제어 기능도 발견

[보안뉴스 김경애] 크리스천투데이 언론사 웹사이트가 지난 11일 해킹당해 웹사이트방문자에게 악성코드에 자동으로 감염되게 하는 드라이브-바이-다운로드(DBD, Drive-by-download) 공격이 발생한 것으로 확인됐다.

크리스천투데이(Christiantoday)는 2000년 7월경에 창간된 종교 매체로, 악성코드 유포 확인 시점은 지난 11일 오후 2시경이다.

이 같은 유포 정황을 포착한 빛스캔 관계자는 12일 본지와의 통화에서 “현재 확인 결과 공격자가 악성코드 유포를 멈춘 것으로 확인됐고, 정확하게 언제 공격자가 웹사이트에서 빠졌는지는 알 수 없다”며 “크리스천투데이 측에는 한국인터넷진흥원의 보안조치를 받을 수 있도록 전달한 상태”라고 말했다.

이번에 발견된 공격방법에 대해 빛스캔 측은 공다팩 익스플로잇 툴킷(Gongdad Exploit Toolkit)을 사용한 것으로 분석했다. 이 공격킷은 자바 7종, IE 1종, Adobe Flash 1종의 취약점을 활용하고 있어 완벽한 보안 패치가 되지 않은 방문자는 악성코드에 바로 감염될 수밖에 없다.

최종 다운로드된 악성파일을 추가 분석한 결과, 빛스캔 측은 “금융관련 개인정보 유출에 활용되는 파밍과 백도어(원격 제어) 기능을 가진 것으로 확인됐다”며 “만약 PC 사용자가 악성코드에 감염됐다면 그 컴퓨터는 좀비 PC가 될 뿐만 아니라 이미 공격자가 모든 권한을 가지고 좌지우지할 수 있는 심각한 상황”이라고 덧붙였다.

특히 개인 사용자들에게는 파밍으로 금전적인 피해를 입히고, 기업이나 기관내의 감염자들은 정보유출과 추가 침입의 통로로 이용 될 수밖에 없다는 것. 자바(Java)와 플래시(Flash)의 경우 업데이트 관리가 용이하지 않은 상황임을 감안한다면 웹 서핑이 가능한 모든 PC 자원에서 감염 가능성이 더욱 높다는 것이 빛스캔 측의 설명이다.

이처럼 올해도 작년과 같이 웹을 통해 대량 감염되도록 유도하는 공격형태가 계속 발생할 것으로 보인다. 이와 관련 빛스캔 측은 “지난해 발견된 여러 문제들에 대해 근본적인 원인과 꾸준한 관리방안들에 대한 충분한 검토와 대응책을 준비하지 않으면 올해도 웹을 통한 감염이 지속적으로 이어질 수밖에 없다”며 “최근 발생한 2천여만명의 금융관련 정보 유출과 함께 활용된다면 많은 PC 이용자들의 피해가 기하급수적으로 증가할 것”으로 예상했다.

웹 서버는 대부분 DB와 연동돼 있어 공격자는 대부분 DB 탈취를 목적으로 한다. 그러나 최근에는 DB 탈취보다 악성코드를 유포하기 위한 매개체로 활용하는 경우가 늘고 있어 운영 중인 웹 서비스에서 악성코드 유포에 활용되는 URL 탐지 방안도 고려해야 한다는 것이 빛스캔 측의 설명이다.

특히 최근에는 파밍과 같이 금융관련 범죄를 노리는 악성코드 유포에 활용되는 사례가 많다는 것. 웹 서버의 운영은 기업이나 조직이 손쉽게 개인이나 방문자에게 정보를 제공하고, 또는 개인정보를 넘겨받아 활용하는 등 손쉽게 운영이 가능하기 때문이다.

하지만, 기능에만 충실하고 보안을 간과하는 경우 개인정보 유출, 악성코드 유포 등 방문자에게 치명적인 피해를 줄 수 있어 웹 서버 관리자와 보안관리자는 보다 많은 관심과 노력을 기울여야 한다.

따라서 취약한 웹사이트의 문제를 해결하고, 위험성을 평소 관리하지 않으면 문제는 계속될 수밖에 없다. 특히 대규모 악성링크(비정상링크)에 의해 대량 감염되는 문제점을 해결하지 않는다면 문제는 더욱 심각해진다.

이와 관련 빛스캔 측은 “공격은 매우 빠르고 신속하게 진행되는 형태로 변화되고 있고, 매주 발견되는 신규 악성링크의 유포행위 또한 매주마다 변경되고 있다”며 “전체 범위를 모니터링하고, 사전탐지를 통해 위험에 대비할 것”을 조언했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>