특히, 을지연습 기간 마지막 날인 20일 한미XX협회 사이트에서 스윗 오렌지 익스플로잇 킷(Sweet Orange Exploit Kit)을 악용한 악성URL이 삽입된 정황이 포착됐다. 같은 날 XX케어 웹사이트에서도 동일한 공격 정황이 발견됐다.

이를 제보한 닉네임 메가톤은 “보안이 취약한 국내 웹사이트가 반복적으로 공격을 당하며, 악성URL이 삽입되고 있다”며 “단순히 악성URL 삭제 뿐 아니라 근본적인 조치로 보안을 강화해야 한다”고 강조했다. 

이어 XX바이오시스템 도메인을 이용한 피싱 사이트도 발견됐다. 이와 관련 메가톤은 “피해사이트 서버를 이용해 1차적으로 개인정보를 요구하고 있다”며 피싱 사이트에 대한 주의를 당부했다.

이외에도 오XX, 스킨XX, 신라XX 등 중소기업 사이트를 중심으로 악성링크가 삽입된 정황이 드러났다.

최신 취약점 이용 등 멀티스테이지 공격

이어 매번 공격 유형이 조금씩 변형되면서 국내 웹사이트를 위협하고 있다. 지난 주에도 발견됐던 네이버 계정 탈취를 목적으로 하는 피싱 공격은 물론 일부 사이트에서는 아이핀 계정을 추가로 요구하는 형태로 변경됐다. 게다가 아이핀 계정 탈취 공격에다 악성코드를 감염시킬 수 있는 악성링크가 추가되는 변형 공격도 나타났다.

이보다 앞서 지난 7월 9일에는 파밍 악성코드 유포 조직들이 해킹팀 이슈로 발견된 CVE-2015-5119를 적용했으며, 7월 13일 이후부터는 CVE-2015-5122를 추가 적용한 것으로 분석됐다.

이와 관련 하우리 최상명 CERT실 실장은 “파밍 악성코드 유포 조직도 해킹팀 최신 플래시 취약점(CVE-2015-5122)을 사용하기 시작했다”며 “CK VIP 익스플로잇 킷 8.11 버전부터 적용했다”고 밝혔다.

200여개 사이트, 동시 악성URL 삽입

이어 최대 200여개 사이트에 영향력을 가진 멀웨어넷(MalwareNet)의 활동도 포착됐다. 여기서 말하는 멀웨어넷은 공격자가 효과를 높이고 탐지를 회피하려고 활용하는 다단계 유포 네트워크를 의미한다.

지난 8일에는 소강상태이던 취약점을 악용한 악성 URL이 국내 대표적인 제빵회사인 신라XX 웹사이트에 삽입된 정황도 발견됐다. 해당 악성 URL은 소규모 멀웨어넷(MalwareNet)으로 대략 200여개에 이르는 중소규모 사이트에 악성 URL이 동시 삽입되어 유포된 것이 특징이다.

이와 관련 빛스캔 문일준 대표는 “해당 사이트에서 제품을 사기 위해 방문하는 사용자에게 영향을 줄 수 있다”며 “해당 사이트에서 사용된 공격 킷은 CK VIP 익스플로잇 킷이 사용됐으며, 다운로드된 바이너리는 공인인증서를 탈취해 개인금융정보를 공격자 서버로 보내는 것으로 확인됐다”고 설명했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>