서울시 공공보건의료지원단 홈피서 악성파일 유포...현재 차단
지난 16일도 같은 유형의 악성파일 유포했던 것으로 드러나
액티브X 대안으로 등장한 exe 실행파일 다운로드 유도    

[보안뉴스 민세아] 서울특별시 공공보건의료지원단 홈페이지에서 금융정보를 탈취하는 파밍용 악성파일을 유포했던 것으로 드러났다. 서울시 예산을 지원받는 산하단체 홈피조차 악성파일의 공포를 피해갈 수 없었던 것이다.   

지난 29일부터 서울특별시 공공보건의료지원단 홈페이지 접속 시 ‘b.exe’라는 파일을 다운로드 받도록 하며, 해당 악성코드를 다운로드 받으면 정교하게 제작된 가짜 네이버나 다음 등 포털사이트에서 금융감독원 팝업이 떴다. 이어 보안관련 인증절차를 위해 사용자의 금융정보를 입력하도록 유도했던 것이다.

b.exe 파일을 다운로드 받아 실행할 경우 중국판 카카오톡이라고 할 수 있는 QQ메신저 다운로드 플러그인 파일이 깔리는데, 이 악성파일은 파일 전송기능과 함께 감염된 PC내 공인인증서를 압축해서 C&C 서버로 전송하는 것으로 알려졌다. 이는 최근 액티브X 대안으로 등장하고 있는 exe. 실행파일의 다운로드를 유도하는 방식으로 악성파일 감염을 노린 것으로 보인다.   

이와 관련 공공보건의료지원단 호스팅 서버를 관리하고 있는 제너시스템 측은 “해당 악성파일은 IDC 서버에서 유포된 것으로 공공보건의료지원단 내부 시스템과는 관계가 없다”고 말했다.

지난 29일 악성파일을 발견해 침투경로를 파악한 후, 30일 경로값으로 로그를 분석해 악성파일의 권한 등을 박탈하고 파기하는 작업을 수행했으며, 관제 쪽에서 IP·포트 방지작업을 진행했다고 전했다.

제너시스템 관계자는 “중국쪽 IP 대역에서 지속적으로 접속시도가 이뤄지고 있으며, 현재 악성파일을 차단했지만 완전히 조치된 것은 아니기 때문에 지켜보는 상태”라고 전했다.

공공보건의료지원단 홈페이지의 경우 서울시 측에서 예산지원을 하고 있는 상태지만, 보안업무를 위한 전담인력은 태부족한 상태라며, 홈페이지를 안전하게 관리하는데 현실적인 어려움이 있다고 전했다.

한편, 해당 파일은 지난 16일에도 유포된 바 있다. 이로 인해 최근 서울시 공공보건의료지원단 홈피를 방문했거나 무심코 b.exe 파일을 다운로드 받은 사용자라면 PC 정밀검사를 수행하는 등의 조치로 해당 악성파일을 삭제해야 한다. 이와 함께 PC를 통한 인터넷뱅킹 등의 전자금융거래는 당분간 금지해야 할 것으로 보인다.  

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>