[보안뉴스 김경애] 9월 들어 사용자 방문이 많은 웹사이트에 악성링크 삽입이 지속적으로 증가한 것으로 조사됐다.

언론사를 비롯해 연구소, 군 관련 사이트 내부에 악성링크 삽입 정황이 포착됐으며, 금융정보 탈취를 위한 악성코드 활동도 연이어 발견됐다. 특히, 카운터링크가 국내 웹사이트에서 잇따라 탐지됐는데, 이는 언제 웹사이트를 점령할지 모르는 전조 증상으로 웹사이트 관리자 및 이용자는 주의할 필요가 있다.

빛스캔에 따르면 지난 5일경 제대 군인들을 지원하는 보훈처 산하단체 사이트에서 악성코드 공격 전에 나타나는 카운터 링크가 해당 사이트에 삽입된 정황이 포착됐다. 

카운터 링크는 공격자가 다양한 공격 킷을 활용하기 전에 사이트 동향과 트래픽 등을 파악하기 위한 용도로 쓰이고 있으며, 그 이후에는 대부분 악성코드를 삽입하는 행위로 이어진다.

특히, XXXXXX협회 사이트 같은 경우 일반인보다는 군 관련 사용자의 접속이 높을 수밖에 없다. 이로 인해 카운터 링크가 직접적인 공격 킷으로 변경될 경우 군관련 정보 등의 유출 가능성이 있어 빠른 조치가 필요하다.

이와 관련 지난 2013년에는 예비역 군장성들의 모임인 XX회 사이트에서 워터링 홀 공격이 발생한 바 있다. 이와 관련 빛스캔 관계자는 “해당 사이트도 초기에는 카운터 링크가 일정기간 활동한 후, 직접 악성코드가 삽입됐던 것으로 확인됐다”며 “새로 웹사이트를 구축하는 과정에서 기존에 내장돼 있던 악성코드 또는 SQL인젝션 등의 웹취약점 등을 악용했을 가능성이 높다”고 밝혔다.

대개 웹사이트의 경우 지속적으로 컨텐츠와 소스가 변경되기 때문에 정기적으로 웹 취약점 점검 등을 하지 않는다면, 악성링크 삽입 등의 공격이 반복해서 발생할 가능성이 높다며, XXX캡 사이트도 유사한 사례로 추정된다고 덧붙였다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>