개인정보 유출, VPN 연결 이용한 파밍 악성코드 등 여전히 ‘활개’

[보안뉴스 김경애] 한 주간 이탈리아 보안업체 해킹팀 해킹사건으로 드러난 취약점이 악용되는 사례가 곳곳에서 탐지되는가 하면 여전히 금융정보와 개인정보를 노리는 악성파일이 국내 웹사이트에서 발견되고 있다. 뿐만 아니라 PC와 모바일을 동시에 노리는 악성파일 역시 확대되는 조짐이 포착되고 있어 백신과 SW의 최신버전 유지가 무엇보다 중요해지고 있다.

해킹팀 이슈로 드러난 취약점 악용 ‘기승’

먼저 해킹팀 해킹으로 드러난 취약점을 악용하는 징후가 계속 탐지되고 있어 보안전문가들도 매우 긴장하고 있는 분위기다. 이로 인해 최신 버전 보안 업데이트를 한 목소리로 당부하고 있다. 

한 보안전문가는 “해킹팀 이슈로 공개된 취약점이 악용돼 비상 대응중”이라며 이용자들의 주의를 당부했다.

또 다른 보안전문가 역시 “최근 알려진 플래시 취약점을 이용한 공격이 탐지되고 있다”며 “기업에서는 홈페이지 관리를 강화하고, 이용자는 악성코드에 감염되지 않도록 SW와 백신을 최신 버전으로 업데이트 해야 한다”고 말했다. 앞으로도 이러한 공격이 증가할 것이라고 전망했다.

이와 관련 한국인터넷진흥원도 16일 서둘러 보도자료를 배포해 최신 버전으로 보안 업데이트할 것을 당부하는가 하면 MS사는 최근 긴급 보안 업데이트 4종과 중요 보안 업데이트 10종 등 총 14종의 보안 업데이트를 발표했다. 어도비사 역시 플래시의 신규 취약점 보안 업데이트 2종을 발표했으며, 오라클 역시 자바 제로데이를 포함해 총 193개의 취약점을 패치한 것으로 알려졌다.

이번에 패치된 취약점은 공격자에 의해 시스템 원격 제어, 메모리 변조 등이 가능해 주요 정보가 유출될 수 있다. 특히, 해당 운영체제 및 소프트웨어는 국내에서도 사용률이 높아 최신 버전으로 업데이트하지 않으면 악성파일에 감염될 확률이 높다.

시만텍코리아 윤광택 이사는 “해킹팀의 정보 유출로 새로운 취약점이 공개되어 제로데이 익스플로잇 취약점(CVE 2015-5123) 등을 이용한 공격에 주의해야 한다”며 “특정 타깃을 대상으로 하는 표적공격에 사용되겠지만 취약점이 공개된 만큼 일반인을 대상으로 하는 공격에 사용될 수 있어 패치에 만전을 기해야 한다”고 말했다.

이어 그는 “사용자 측면에서 개인은 OS 및 브라우저에 사용되는 플래시 자바 등을 최신 버전으로 유지해야 하고, 기업에서는 PC 보호를 위해 엔드포인트 통합보안 솔루션 등으로 보안위협을 최소화해야 한다”고 덧붙였다.

하우리 최상명 CERT실 실장 역시 “이번주 국내에 해킹팀에서 유출된 플래시 취약점 CVE-2015-5119와 CVE-2015-5122를 이용한 악성코드 유포가 실제로 발생하고 있다”며 “어도비 플래시 버전 업데이트가 반드시 이루어져야 한다”고 당부했다. 

특히, 400GB에 달하는 해킹팀 해킹 자료에서 발견된 ‘서울대 공과대학 동창회 명부.docx’ 워드 파일은 실행할 경우 특정 서버에서 플래시 파일의 다운로드를 시도하기 때문에 절대 열어보지 말 것을 당부했다.

게다가 지난 13일 한수원 내부자료가 또 다시 트위터를 통해 공개되는 등 북한 이슈도 있었던 만큼 보안 업데이트는 더욱 요구되는 상황이다.

개인정보와 FTP 권한설정 악성파일 ‘활개’

이어 한 주간 개인정보나 금융정보 탈취 목적의 악성코드 역시 곳곳에서 발견됐다. 지난 13일 XX사이트에서 악성파일과 FTP 및 개인정보 탈취용 악성파일이 발견됐다. 해당 사이트의 경우 지난 11일, 6월에는 16일, 5일, 4일, 1일, 2014년 8월 7일에도 탐지돼 바이러스토탈에 분석된 바 있다.

XXXXXX보존회와 P2PXX사이트도 사용자 정보를 확인하는 악성URL이 발견됐으며, XXX테크 사이트도 사용자 정보를 확인하고, 의심스러운 URL(NULL)과 CAB 파일 서명을 확인하는 악성URL이 탐지됐다.

이어 XX방송 사이트 역시 사용자 정보 등을 체크하는 악성파일이 삽입됐으며, XX세이와 XX방 언론사 사이트에서도 악성URL이 탐지됐다.

이를 본지에 제보한 닉네임 메가톤은 “보안관리가 허술한 곳이나 한번 악성코드가 심어졌던 웹사이트에 다시 악성링크가 심어지는 경우가 비일비재하다”며 웹사이트 관리의 중요성을 강조했다.

모바일 악성파일, SNS외에 언론사로 확대

이어 모바일과 PC를 동시에 노리는 악성코드 역시 지속적으로 발견됐다. 빛스캔에 따르면 악성코드 유포지가 지속적으로 등장하고 있다며 모바일은 XX트리, XX패치, XX오디오, XX신문, XX나비엔 등 SNS 이외에 언론사로 확장하는 움직임이 포착됐으며, PC의 경우 기존 악성코드 유포지가 재활용되고 있다고 밝혔다.

특히 XX나비엔 인사채용 페이지의 경우 지난 1월 악성링크가 삽입되어 취업 준비를 위해 방문하는 사용자에게 영향을 준 바 있다. 이후 7개여 월이 지난 시점에서 이번에는 취업사이트가 아닌 XX나비엔 메인 사이트의 초기 페이지에서 악성링크가 발견됐다.

이와 관련 빛스캔은 홈페이지를 방문하는 사용자가 악성링크에 노출되는 상황이 발생했다며 더욱 우려되는 것은 취업페이지와는 다르게 해당 홈페이지에 방문하는 사용자들은 매우 다양하기 때문이라고 밝혔다.

게다가 XX나비엔 메인 홈페이지는 로그인과 함께 협력사 등록 등 다양한 콘텐츠를 제공하고 있기 때문에 1월에 이어 공격자가 사이트 권한을 가지고 있는 경우에는 추가적인 개인정보 유출 등의 2차적인 피해까지 우려된다는 게 빛스캔 측의 설명이다.

이외에도 금융권 공격을 노린 악성코드가 지속적으로 발견됐으며, VPN을 이용해 파밍 사이트를 연결하는 수법 역시 재출현한 것으로 드러났다. 또한, 호스트(hosts) 파일을 이용한 신규 도메인까지 등장했다.

이와 관련 문일준 대표는 “VPN 연결을 이용하는 파밍 목적의 악성코드는 지난 3월에도 발생한 적이 있다”며 “특히 이번 한주간에 VPN을 이용하고, 호스트(hosts) 파일을 이용한 신규 도메일까지 등장하는 등 과거에 사용된 파밍 기법들이 재활용되거나 새롭게 업데이트되는 현상이 관찰됐다”고 설명했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>