이지스CMS 웹사이트, 악성파일 중간경유지로 악용된 정황 포착

보안전문가, 보안 우선되어야 할 PG사 웹사이트 관리 허술 제기  

[보안뉴스 김경애] 이용자가 다양한 결제수단을 이용해 편리하게 수납할 수 있는 PG사 웹사이트가 악성파일 유포를 위한 중간 경유지로 악용되면서 웹사이트의 허술한 보안관리가 도마 위에 올랐다.

이와 관련 통합결제서비스인 ‘AEGIS CMS-이지스시스템(이하 이지스 CMS)’ 웹사이트가 중간 경유지로 악용된 정황이 10일 포착됐다.

이지스 CMS는 금융결제 서비스 업체로 여러 기업이나 단체들이 고객 또는 회원에게서 수령할 금액을 인터넷뱅킹 수준의 간단한 프로그램만으로도 수납할 수 있도록 서비스를 제공하고 있는 PG사다.

해당 홈피에서 발견된 악성파일은 카이홍 익스플로잇 킷(Caihong Exploit Kit, 이하 CK )이며, 드라이브 바이 다운로드 방식으로 주로 악용된다.

이와 관련 빛스캔 문일준 대표는 “국내에서 많이 쓰이는 공격킷인 CK 익스플로잇 킷이 이용됐으며, 보안이 취약한 사용자가 해당 사이트 방문시 악성코드에 감염되는 드라이브 바이 다운로드 공격 방식이 이용됐다”며 “최종 다운로드되는 악성코드를 분석한 결과, 파밍 사기 등으로 금융정보를 탈취할 뿐만 아니라 MAC 주소와 같은 PC 정보도 함께 유출하는 것으로 알려졌다”고 밝혔다.

이번 사건이 보다 심각한 이유는 다른 일반사이트와 달리 금융결제 업무를 담당하는 PG사 웹사이트에 악성파일이 올라갔다는 점이다. 이는 금융당국 및 금융사에서 핀테크 산업 육성을 위해 정보보안을 선행과제로 삼고 있는 가운데 정작 보안을 강화해야 할 PG사의 웹사이트가 허술하게 관리됐기 때문이다.

해당 사이트의 취약점에 대해 한 보안전문가는 “해당 사이트에 어떤 취약점이 있기 때문에 경유지로 악용된 것이고 악성파일이 올라간 것”이라며 “보안이 잘 되어 있는 사이트라면 악성코드를 신속히 탐지하거나 외부 보안전문업체를 통해 관제 및조치가 이루어졌을 텐데 그렇지 못했다”고 지적했다.

또 다른 보안전문가는 “서버 사용자 PC가 감염됐다면 서버도 악성코드에 감염됐을 가능성이 높다”며 “그렇게 되면 웹서버 정보를 다 가져갈 수도 있고, PG사의 정보를 가져갔다면 고객정보가 유출될 가능성도 있기 때문에 공격자가 단순히 악성파일만 올렸는지, 시스템을 장악했는지 면밀히 검토해야 한다”고 강조했다.

이와 관련 이지스CMS 관계자는 “한국인터넷진흥원에서 연락을 받아 현재 모든 악성파일을 제거한 상태”라며 “해당 악성파일은 게시판에서 파일을 다운로드 받았을 때 해당 PC에서 개인정보를 탈취할 수 있는 악성파일로 파악됐다”며 “악성파일은 모두 제거됐고, 악성파일로 인한 피해 신고 접수나 피해사례가 발생되지 않아 개인정보 유출 가능성은 낮다”고 밝혔다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>