[보안뉴스 김경애] 최근 국내 언론사 사이트를 타깃으로 한 공격이 예사롭지 않다. 특히, 지난 6일 국내 언론사 사이트를 대상으로 집중적으로 악성코드가 삽입되거나 악성코드 유포지로 악용되는 정황이 포착됐다. 특정 언론사를 통해 악성코드에 감염되면 파밍사이트로 연결된다.

본지가 제보받은 바에 따르면 악성코드가 발견된 언론사는 A사, I사, M사, S사, 또다른 S사로 이들 모두 동일하게 각 웹사이트의 카툰 웹페이지에서 악성코드가 발견된 것으로 드러났다.

이와 관련 본지는 지난 6일에도 한 언론사 웹사이트에서 악성코드가 유포되는 정황이 포착됐다고 보도한 바 있다. 해당 웹사이트에는 악성 스크립트가 삽입되어 있었으며, CK VIP Exploit Kit가 심어진 경유지 사이트를 거쳐 최종 유포지에서 win.exe 악성코드가 사용자 모르게 PC에 다운로드됐던 것으로 분석됐다.

CK VIP Exploit Kit은 해당 시스템에 취약점이 어느 것인지 찾고, 그 취약점에 맞는 악성코드를 내려주는 역할을 하며, win.exe 악성코드에 감염될 경우 개인정보와 금융정보 탈취를 목적으로 하는 금융감독원 사칭 파밍사이트로 연결된다.

하지만 보도 이후 같은 날 또 다른 언론사인 S사 사이트에서도 악성코드가 유포된 정황이 포착됐다. 이와 관련 한 보안전문가는 “또 다른 S사의 경우도 6일 악성코드가 유포됐다가 조치됐다”며 “특히, 뱅킹용 악성코드가 활개를 치고 있다”고 말했다.

이어 본지에 제보한 카페다 사이트의 김근주 전산실장은 “언론사 M사 웹사이트의 경우 악성코드 파일과 CK VIP Exploit Kit가 삽입됐으며, 플래시 취약점을 이용한 정황도 포착됐다”고 밝혔다. 특히, 삽입된 악성코드는 FTP 권한 탈취는 물론 또 다른 악성파일을 업로드했다고 덧붙였다.     

이와 관련 빛스캔 문일준 대표는 “6일 새벽부터 저녁까지 공격이 심했다”며 “공격이 많은 주말의 거의 50% 수준으로 수십개 사이트에 악성링크가 삽입됐다”고 말했다. 이어 그는 “그가운데서도 언론사의 특정 카테고리를 노린 정황이 포착됐다”며 ”보안관제업체 등 정보가 유용하게 쓰일 수 있는 분야에는 함께 공유해서 공동 대응해야 한다”고 당부했다.

이와 관련 한 보안전문가는 “간편하게 볼 수 있어 사용자들이 많이 이용하는 언론사의 카툰 웹페이지를 노린 것으로 보인다. 1개 사이트에서 제공하는 카툰을 여러 언론사가 가져다가 서비스하는 과정에서 문제가 발생한 것 같다”며 “메인 페이지보단 공격이 쉬운 서브 도메인의 취약점을 찾아 공격했으며, 동일한 악성코드 사용 등 공격방식이 유사한 것을 봐선 동일 해커조직으로 보인다”고 설명했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>