• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[주간 악성링크] PC·모바일 노린 보안위협 유형 4가지 2015.06.09

특정 사이트로 연결되는 악성URL·토렌트 악성파일 등 기승

소셜미디어 매체 이용한 모바일 겨냥한 APK파일 출현 


[보안뉴스 김경애] 특정 사이트로 연결되는 악성URL를 삽입한 흔적이 국내 웹사이트에서 발견되는가 하면, 도움말 파일로 위장한 토렌트 악성파일, 모바일을 겨냥한 악성파일이 발견되는 등 각종 악성파일이 이용자를 노리고 있어 이용자들의 각별한 주의가 요구된다.

 ▲ 8일 51yes.com(중국 사이트)사이트로 연결되도록 URL이 삽입된 한 블로그 캡처화면


특정 사이트로 연결되는 악성URL 포착

먼저 지난 주부터 특정 사이트로 연결되는 악성URL이 기승을 부리고 있는 것으로 나타났다. 이와 관련 8일에는 한 블로그 사이트에서 51yes.com(중국 사이트) 사이트로 연결되도록 하는 URL이 삽입된 정황이 포착됐다. 이용자가 해당 악성코드에 감염될 경우 사용자의 추적코드, 사용자 정보, 사용자 쿠키 정보 등 사용자의 정보를 중국 사이트로 전송한다.


이를 본지에 제보한 한 제보자는 “중국사이트로 연결되거나 사용자 정보를 탈취하는 특정사이트로 연결되는 악성URL이 국내 웹사이트를 대상으로 발견되고 있다”며 주의를 당부했다.

▲ 지난 3일 악성URL이 심어진 제주도의 한 숙박시설 사이트 캡처화면 

이어 국내 웹사이트에서 또 다른 특정사이트로 연결되는 악성URL이 삽입된 정황이 대거 포착됐다. 8일에는 자작시 및 단편소설 등을 소개하는 00시 사이트에서 www.ro***.com/****.htm와 같이 특정 악성URL이 삽입된 정황이 포착됐다. 그러나 이미 지난 2일부터 3일까지 양일간 해당 URL이 집중적으로 심어진 것으로 확인됐다.


지난 3일에는 제주도의 한 숙박시설 사이트와 00교회 사이트에서, 지난 2일에는 부산00교육원00000대학 사이트, 치과치료 임상 및 학술 자료를 취급하는 0000연구회 사이트, 0000발레아카데미 사이트, 00소프트 사이트, 00한의원 사이트, 음반 제작 전문업체인 000엔터테인먼트 사이트, 후렉시블 닥트 생산 전문업체인 00하이플렉스 사이트에서 특정 악성URL이 삽입됐던 것으로 드러났다. 특정 악성URL의 경우 사용자의 쿠키 정보나 사용자 정보 등을 체크하는 기능이 있으며, CAB 파일의 서명 정보를 체크하는 기능이 포함된 것으로 알려졌다.


이와 관련 빛스캔 문일준 대표는 “www.ro***.com/****.htm 악성URL은 지난 2010년 말경에 국내에서 Mass SQL Injection 공격으로 삽입된 악성링크로, 현재에도 최소 950여개의 국내 웹사이트에서 제거되지 않고 남아 있는 것으로 추정된다”며 “이는 악성링크를 재활용하는 경우인데, 활성화되어 악성코드가 내려오는 시점 이외에는 탐지가 어렵기 때문에 이렇게 오래된 악성링크(Legacy Link)도 미리 제거할 필요가 있다. 하지만 링크에 대한 정확한 정보를 가지고 있지 않은 경우에는 이 조차도 어려울 수밖에 없다”고 설명했다.


국내 웹사이트, 악성URL 지뢰밭

특정사이트로 연결되는 악성URL에 이어 사용자의 정보 탈취를 노리는 각종 URL 삽입도 끊이지 않고 있다. 국내 웹사이트를 노린 각종 악성URL이 기승을 부리고 있다는 것.  


지난 5일 전자제품 개발 전문업체인 00000시스템즈 사이트와 정밀화학전문업체인 0000코리아 사이트에서 스윗오렌지 익스플로잇 킷(Sweet Orange Exploit Kit)을 활용해 공격하는 악성URL이 삽입됐다.


이보다 하루 앞선 지난 4일에는 0000쇼핑몰 사이트에서, 3일에는 제주도의 숙박시설 사이트와 투자정보 제공업체인 000정보 사이트, 0000연구소 사이트, 00교회 사이트에서 사용자의 쿠키 정보, 사용자 추적코드, 난독코드 등을 이용한 사용자 정보를 탈취하는 기능을 갖춘 악성 URL이 포착됐다.


지난 2일에는 부산00교육원00000대학 사이트에서, 지난 1일에는 0000협회와 대성00 사이트에서 악성URL이 삽입된 것으로 분석됐다. 특히, 0000협회 웹사이트의 경우 과거에도 몇 차례 악성URL이 발견된 바 있는데, 사용자의 쿠키 정보, 사용자 추적코드, 사용자 정보를 체크하는 기능을 포함돼 있는 것으로 조사됐다.  


‘도움말 파일’ 위장한 토렌트 악성파일 발견

최근에는 인기 있는 프로그램의 정상 동영상 파일과 악성 도움말 파일(.chm)을 토렌트에 함께 유포한 정황이 포착됐다.

▲지난 3일 감상전에 꼭 필독하라는 문구의 토렌트 악성파일명 정황 캡처화면


지난 3일 안랩에 따르면 해당 악성 파일은 ‘감상 전에 꼭 필독’, ‘꼭 읽어보세요’ 등 호기심을 자극하는 파일명으로 사용자가 클릭하도록 유도하고 있다. 만약 파일을 실행할 경우 공격자가 미리 설정해 놓은 특정 웹사이트로 연결된 후 자동으로 악성코드에 감염된다.


해당 악성코드는 감염 이후 특정 C&C 서버(Command&Control 서버: 공격자가 악성코드를 원격 조정하기 위해 사용하는 서버) 로 접속을 시도하는 등 공격자의 특정 명령을 수행할 수 있는 ‘백도어’ 기능을 수행한다. 즉, 공격자의 목적에 따라 다양한 악성코드를 추가로 설치하거나 실행하는 것이 가능하다는 얘기다.


소셜미디어 매체 이용한 모바일 공격 가세

이어 지난 5월 10일부터 31일까지 소셜매체를 이용해 악성코드를 유포하는 정황도 지속적으로 탐지돼 모바일 보안위협도 갈수록 커지고 있다.


지난 1일 빛스캔 측은 “소셜미디어 매체를 적극 활용하는 형태가 계속 관찰됐다”며 “이제는 모바일과 유선인터넷을 함께 공격하는 적극적인 형태가 시작됐다”고 밝혔다.

 

소셜미디어 매체 W사를 통해 연결된 악성링크는 모바일기기 식별 이후 어도비 플래시 플레이어의 업데이트를 위장하는 팝업창을 화면에 출력한 이후 악성앱(APK)을 다운로드해 사용자에게 설치하도록 한다.


악성앱은 사용자가 직접 설치를 눌러야 동작하게 되는데, 공격자는 신뢰도가 있는 메시지나 사이트 등을 이용해 팝업창을 출력함으로써 악성앱 설치를 유도한다. 설치된 악성앱(APK)은 모바일기기의 금융정보부터 SMS까지 모두 통제할 수 있게 된다는 게 빛스캔 측의 설명이다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>