[보안뉴스 김경애] 웹사이트를 공격하려는 징후와 영향력 있는 사이트의 악성코드 유포가 지속적으로 이뤄진 것으로 나타나 이용자들의 주의가 요구된다.

이에 본지는 2월 둘째주 한 주간 발생했던 악성코드 유포 및 악성링크 등에 관한 주요 이슈를 모아 정리해 보고자 한다.

먼저 지난 1월 28일부터 2월 6일까지 XX페인트 사이트에 악성링크가 삽입되어 웹사이트를 방문하는 사용에게 영향을 준 정황이 포착됐다. 특히, 해당 기간에는 채용공고가 게시된 상태였으며, 악성링크 역시 채용기간에 맞춰 삽입됐다.

빛스캔이 분석한 XX페인트를 통한 악성코드 유포 이력을 살펴보면, 지난 2월 6일까지 총 5번의 악성링크 변경이 이루어졌고, 악성링크가 삽입된 위치는 홈페이지 전반에 모두 사용되는 공용모듈로 확인됐다. 특히, 악성링크가 삽입됐던 시기가 채용기간과 겹쳐있기 때문에 이력서와 같은 개인정보 유출 피해도 발생할 가능성이 높다는 분석이다.

이어 지난 2월 8일에는 한국사능력시험 웹사이트 접속만으로도 감염이 되거나 인위적인 공격코드 실행 가능성이 매우 높은 상황에 있는 것으로 탐지된 바 있다.

또한, 같은 날 중부도시가스 웹사이트 내에서도 악성코드가 삽입돼 접속만으로 감염되는 정황이 탐지됐다. 게다가 요금 및 납부 조회가 가능해 공격자가 이미 웹서버에 대한 권한을 가진 상태라는 추측이 가능하다. 이로 인해 내부망으로의 침입도 충분히 가능하므로, 연결된 모든 PC와 내부망에 대한 집중적인 점검 필요성이 제기됐다.   

특히, 두 사이트의 악성코드 기능을 분석한 결과, 금융관련 공격인 파밍과 백도어 기능이 있었으며, 발생 초기에는 국내 주요 백신에서 탐지되지 않았던 것으로 조사됐다. 악성코드가 출현한 지 2일이 지난 후에야 국내 주요 백신에서 탐지됐다는 게 빛스캔 측의 설명이다. 이는 방문자가 보안 패치 등을 제 때 하지 않았을 경우 악성코드에 감염됐을 가능성이 높다는 유추가 가능하다.

이처럼 매주 발생하는 악성코드 유포 형태를 살펴보면, 일반적으로 국내 사용자들이 자주 방문하는 웹 서비스에 비정상링크(악성링크)를 삽입해 사용자가 방문하면 곧바로 감염을 일으키는 곳(Exploit Link)과 연결되어 감염을 일으키게 만드는 DBD(Drive-By-Download) 방식이 대부분이다.

악성링크의 기능은 금융정보 및 공인인증서 탈취형 악성코드 이외에도 백도어 및 원격제어 기능이 기본 탑재돼 있어 감염 즉시 좀비PC가 된다. 웹서비스를 공격에 이용하는 목적은 다음과 같이 분류할 수 있다.

공격자의 공격 목적은 대부분 내부 침투목적 또는 방문자의 감염을 통한 추가 공격이다. 또한, 공격자가 효과적으로 공격을 수행하기 위해 얼마나 많은 이용자가 접속하는지 정보를 수집하는 성격을 띠는 것으로 추정되며, 언제든지 악성코드를 유포할 수 있는 사이트라고 할 수 있다.

따라서 이용자들은 사이트에 방문하기 전 먼저 백신이 최신 버전인지 확인하고 파밍 사이트로 연결되지 않도록 주소창에 녹색줄 열쇠 잠금 표시를 확인해야 한다. 또한, 개인정보나 금융정보를 과다 요구하는 금융 웹사이트는 파밍 사이트 가능성이 높으므로 주의하는 게 좋다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>