지난 8일 악성코드 유포...공격자 내부망 침입도 의심되는 상황  
악성코드에 파밍과 백도어 기능 포함...현재 주요 백신에서 탐지중  

[보안뉴스 김태형] 한국사능력검정시험의 합격자 발표일인 2월 10일 접속자가 몰려 사이트 접속이 원활치 않은 가운데 해당 사이트에서 지난 2월 8일 악성코드가 유포된 정황이 포착돼 8일 사이트 접속자들의 악성코드 감염 우려가 높아지고 있다. 더욱이 합격여부 확인을 위해 미리 사이트를 접속했던 시험 응시생의 피해가 커질 것으로 보인다.

지난 2월 8일 한국사능력검정시험 사이트에 접속하는 것만으로 감염되거나 인위적인 공격코드 실행 가능성이 매우 높은 악성코드가 탐지된 것으로 알려졌다.

빛스캔 측은 이번 사이트 역시 매주 발생하는 일반적인 악성코드 유포 형태로, 국내 사용자들이 자주 방문하는 웹 서비스에 비정상링크(악성링크)를 삽입해 사용자가 방문하면 곧바로 감염을 일으키는 곳과 연결되어 감염을 일으키게 만드는 드라이브 바이 다운로드(Drive-By-Download) 형태로 구성되어 있다고 밝혔다.

따라서 한국사능력검정시험 사이트에 접속한 방문자가 보안 패치 등 보안을 충실하게 하지 않을 경우 악성코드에 감염됐을 가능성이 높다. 이번 악성코드에는 금융 관련 공격인 파밍과 백도어 기능을 포함하고 있으며 발생 초기에는 국내 주요 백신에서 탐지되지 않았으나 현재는 탐지되는 것으로 확인됐다.

특히, 해당 웹사이트를 통해 한국사능력검정시험을 보기 위해서는 국가에서 주관하는 웹사이트를 통해서 자신의 정보를 입력해야 한다. 상대적으로 높은 보안수준이 요구되는 공공기관에서 관리하는 사이트가 공격에 이용되었다는 점에서 주목할 필요가 있다.

정상 페이지로부터 자동 접속되는 악성링크는 사용자 PC의 다양한 어플리케이션의 취약점을 이용해 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다. 또한, 초기 설치되는 악성파일들은 국내에서 사용되는 주요 백신을 우회하도록 제작되어 있어 초기 대응에 어려움이 많은 것으로 알려졌다.  

빛스캔 측은 “소스가 직접 수정된 서비스의 경우 공격자가 이미 권한을 보유하고 있는 상황이므로, 내부망 침입도 의심할 수 있다. 침해사고 분석과 대응은 관계부처에서 완료했을 것으로 보이지만, 단순히 현상을 제거하는 측면으로 문제를 해결할 경우 재발될 위험이 높다”면서 “근본적인 원인을 찾아내야 한다”고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>