[보안뉴스 김경애] 최근 통신사와 연계된 휴대폰 관련 보험상품 가입이 늘고 있는데, 이를 노린 사이버범죄자들의 공격으로 관련 사이트에서 악성파일이 유포되고 있어 이용자들의 주의가 요구된다.

이와 관련 빛스캔은 지난 16일 KT가 보험사와 제휴해 제공하는 ‘olleh폰안심플랜&폰케어온라인보상센터’ 사이트에서 악성링크를 심어놓고 접속자를 공격하는 정황이 포착됐다고 밝혔다.

‘olleh폰안심플랜&폰케어온라인보상센터’ 사이트 내부에 삽입된 악성링크를 살펴보면, 공격자가 백신탐지 우회를 위해 단계적인 통로를 거쳐 악성코드를 삽입했으며 유포지로 활용했다. 발견된 공격코드는 변종 차이홍(Caihong) EK와 함께 변종 스윗 오렌지 킷(Sweet Orange Kit)이 멀티스테이지(Multi-Stage) 형태로 사용됐다.

멀티스테이지의 경우, 다운로드 되는 바이너리는 같으나 사용된 공격 킷의 형태와 취약점, 그리고 악성링크는 다른 형태를 갖는다. 이는 공격자에게 효율적인 공격인 반면, 방어자 입장에서는 초기의 통로에 대처하지 못한다면 그 과정을 모르기 때문에 상당히 어려울 수밖에 없다.

특히, 해당 웹사이트를 통해 유포되는 악성파일은 기존 국내 백신 탐지를 우회하고 있어 보안에 취약한 사용자가 방문했을 경우 악성코드에 감염될 가능성이 크다. 또한, 악성파일을 추가적으로 분석한 결과, 공인인증서 탈취 및 파밍 사이트로 연결시키는 기능이 있는 것으로 확인됐다.

해당 페이지에 대한 권한 획득은 공격자가 사이트의 권한도 획득했을 가능성이 높으며, 데이터베이스와 같은 민감한 개인정보에 접근할 가능성이 크다.

예를 들어 ‘olleh폰안심플랜&폰케어온라인보상센터’ 사이트의 경우 휴대폰 보험을 온라인으로 신청 받고 있어 개인정보가 유출될 수 있다. 또한 스팸메일, 스미싱 활용 등과 같은 악성코드 감염 외에도 부가적인 가입자에 대한 피해도 발생할 수 있어 더욱 위험하다.

이렇듯 여전히 웹사이트를 통한 악성코드 유포는 매년 반복되고 있는 반면, 심각성에 대한 인식은 아직 미흡한 실정이다. 이와 관련 빛스캔 측은 “근본적인 원인을 찾고 수정되지 않는 한 이미 열려 있는 통로를 통해 공격자는 계속 침입하므로 악성코드 유포 및 활용은 반복될 수밖에 없다”며 “결국 피해는 사이트에 접속하고 가입하는 사용자와 기업의 피해로 이어지기 때문에 좀더 선제적인 대응이 필요하다”고 강조했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>