11일 오후 2시경~12일 오전 방문자 악성코드 감염 위험 높아

[보안뉴스 김경애] 12일 본지가 보도한 크리스천투데이의 드라이브-바이-다운로드(DBD, Drive-by-download) 공격에 대해 크리스천투데이 측이 보안조치를 완료했다고 본지에 전해왔다.

크리스천투데이 측 관계자는 13일 본지와의 통화에서 “12일 오전 한국인터넷진흥원 측에 의뢰해 웹셸 탐지 프로그램을 돌리는 등 보안조치를 취했다”며 “현재 KISA 측에서 웹로그 파일을 분석하고 있어 정확한 사고내용에 대해 향후 KISA의 분석보고서를 받을 예정”이라고 밝혔다.

이에 본지가 KISA에 확인한 결과 KISA 측 관계자는 “보안조치 사항으로 KISA 웹투박스 홈페이지에서 웹취약성 점검 서비스를 제공하고, 휘슬 프로그램을 배포했다”며 “현재 웹취약점 점검 시스템을 통해 각각의 웹페이지에 대한 취약점을 탐지하고 있는 중”이라고 말했다.

그러나 문제는 유포가 확인된 시점은 지난 11일 오후 2시경으로 보안조치가 완료된 12일 오전까지 크리스천투데이 홈페이지를 방문한 이용자는 악성코드에 감염됐을 가능성이 높다.

이와 관련 빛스캔 측 관계자는 “유포 확인 시점이 지난 11일 오후 2시경으로‘christiantoday.co.kr/hidden_comment.htm’ 내에 공격링크가 들어 있었다”며 “사용자 PC 환경이 어도비와 자바 프로그램은 물론 백신이 최신 버전으로 업데이트 돼 있지 않으면 홈페이지 방문만으로도 악성코드에 감염될 수 있다”고 밝혔다.

그러면서 그는 “공격링크가 들어 있는 악성파일이 자동 실행되기 때문”이라고 말했다. 특히 사용자 PC가 느려지거나 특별한 이상 반응이  사용자가 인지하기란 쉽지 않다는 것이 빛스캔 측의 설명이다.

하지만 크리스천투데이는 빛스캔 발표를 신뢰할 수 없다는 입장이다. 크리스천투데이 관계자는 “문제로 지적된 보안취약점과 관련해 빛스캔 측의 일방적인 내용만 들을 수는 없다”며 “KISA에 의뢰한 상태이니 KISA의 가이드에 따라 보안조치를 취할 것”이라고 밝혔다.

이에 대해 빛스캔 측은 “무엇보다 악성코드 유포지로 드러났기 때문에 그 사실을 정확히 인지하고, 보안조치 이전에 방문한 이용자의 경우 감염확률이 높으므로 정확한 후속조치를 안내해 주는 등 보안에 만전을 기해야 한다”고 지적했다.

이와 관련 한 보안전문가는 “최근 카드사 정보유출 사건 이후로 곳곳에서 그동안 허술했던 기업의 보안 시스템과 관리체계가 수면 위로 떠오르고 있다”며 “무엇보다 사용자가 악성코드에 감염돼 2차 피해가 일어나지 않도록 이를 정확히 알리고, 보안조치가 완료됐다는 것도 함께 공지하는 것이 바람직하다”고 말했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>