[보안뉴스 김경애] 한국수력원자력 해킹사건으로 사이버테러 위협이 높아지고 있는 가운데 지난 7월 모두투어 여행사에서 한수원 내부직원을 위한 전용 웹사이트에서 악성코드 유포 정황도 포착돼 관심이 모아지고 있다.
 

빛스캔 측은 “당시 기록을 살펴보면, 모두투어 악성링크가 삽입된 이후 관련 카테고리 사이트와 연관된 대부분의 사이트가 동시에 같은 악성링크가 삽입된 것으로 확인됐다”며 “한수원 모두투어 사이트의 경우 한수원 임직원만 이용하도록 제작된 사이트로 일반인의 접근이 쉽지 않다”고 밝혔다. 즉, 내부 임직원을 위한 페이지일 확률이 높은 것으로, 보안에 취약한 사용자가 이 기간 동안 해당 사이트를 방문했을 경우 악성코드에 감염될 확률이 높다는 얘기다. 

공격코드를 분석한 결과 JAVA, Adobe Flash, Windows 등 모두 8개의 취약점을 노린 Caihong Exploit Kit이 활용됐으며, 공격 킷에 언급된 취약점 중 하나만 패치가 되지 않았더라도 바로 악성코드에 감염된다는 것.

악성링크의 영향을 받은 사이트 수는 모두투어를 포함해 대형 쇼핑몰 사이트 등 최소 7곳이며, 전체 연결된 서비스가 영향을 받았을 것으로 빛스캔 측은 추정했다. 또한, 서버의 권한을 획득한 상태에서 서브 페이지까지 모두 영향을 줄 가능성이 높다고 덧붙였다.

이와 관련 빛스캔 관계자는 “감염에 이용된 악성코드를 분석한 결과 파밍과 공인인증서 탈취 기능을 기본으로 내장하고 있는 트로이목마로 확인됐다”며 “대부분의 경우, 내부에 있는 정보를 빼내갈 수 있도록 RAT(Remote Admin Tool)이 설치되며, 국내에서 대표적으로 이용되는 gh0st RAT의 경우, 화면 캡쳐, 파일 전송, 레지스트리/서비스, 명령창 실행 등 거의 모든 기능을 수행할 수 있다”고 설명했다.

이로써 한수원 모두투어 사이트를 통한 악성코드 감염도 문제로 지적되고 있다. 따라서 한수원은 악성코드 탐지 체계 및 유해사이트 차단 솔루션에 대해서도 꼼꼼히 체크해야 한다.

특히, 악성코드에 감염된 좀비 PC는 내부망을 공격하기 위한 발판이 되기 때문에 한수원에서 바로 발견하지 못했다는 점은 문제가 있다는 것. 한수원은 사회기반시설로 1급보안 체계로 운영되어야 하기 때문에 악성링크에 대한 보안도 더욱 철처하게 이뤄져야 한다는 게 빛스캔 측의 설명이다. 

따라서 이번 악성링크 유포 정황은 한수원의 허술한 보안체계를 다시 한번 여실히 보여주는 사례라고 할 수 있다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>