미술과 음악 분야 노리는 디페이스 해킹

먼저 한 주간 국내 웹사이트를 타깃으로 한 디페이스 해킹 정황이 잇따라 포착됐다. 지난 21일 음악관련 사이트  XXcomma가 해킹된 후, 디페이스된 화면이 발견됐다. 해당 사이트는 워드프레스 취약점을 이용해 사이트에 침입한 후, 웹사이트 화면을 디페이스한 것으로 분석됐다.

이보다 앞서 지난 19일 공연 일정, 티켓 등을 안내하는 XXXXX타임 사이트와 미술작품 정보 사이트인 XX아츠, 건물 마감제를 시공하고 판매하는 XXXX-life 사이트에서도 디페이스 해킹 공격을 당한 정황이 포착됐다. 

협회·재단 사이트, 악성파일 기승

이어 한 주간 협회나 재단 사이트를 노린 공격도 잇따라 발견됐다. 지난 19일 XXXX가스협회 사이트에서의 악성코드 유포행위가 발견됐다.

이와 관련 Auditor Lee는 “해당 사이트는 약 한 달 전에도 악성코드 유포 행위가 발견된 바 있는데, 아직까지 조치가 안 되고 있다”며 “현재는 방문자수를 체크하는 카운터 링크만 남아 있다”고 밝혔다.

지난 18일에는 XX대학교 중소기업지원센터 사이트에서 취약점을 이용한 악성 URL이 포착됐다. 해당 사이트에서는 FTP 및 SSH 정보를 탈취하며, 사용자 정보와 쿠키정보를 확인하는 것으로 분석됐다.

이보다 앞서 지난 17일 XXX사회복지재단 사이트에서도 악성파일이 탐지됐다. 특히 공격자는 인덱스 소스를 변경하고, 서버 취약점을 이용해 타 서버에 악성코드 파일을 업로드한 것으로 분석됐다. 뿐만 아니라 SSH 정보를 탈취한 정황도 포착됐다. 이를 본지에 제보한 닉네임 메가톤은 “기관 및 기업체 등의 기부자와 의료기관을 대상으로 악성코드를 유포하기 위해 취약점을 악용한 것으로 보인다”고 분석했다. 

의료분야 웹사이트, 여전히 취약

의료분야 역시 올해 지속적으로 악성코드 유포 정황이 포착되고 있다. 지난 9일 XX 병원의 홈페이지에서는 공격자가 모바일(APK) 악성앱을 배포하기 위해서 특정페이지를 임의로 삽입해 활용하고 있는 모습이 발견됐다. 더욱 우려되는 것은 특정 페이지를 임의로 만들어서 유포지로 활용했기 때문에 해당 사이트 권한을 공격자가 갖고 있는 것으로 추정된다는 점이다.

이와 관련 빛스캔 측은 “해당 권한을 바탕으로 추후에 다양하게 악용할 수 있는 여지가 있으므로 빠른 조치가 필요하다”며 “특히, 의료관련 사이트 같은 경우에는 실생활에 밀접하게 연관이 되어 있기 때문에 더욱 세심하게 관리할 필요가 있다”고 밝혔다.

수도·제어계측 사이트 겨냥한 공격

이 외에 한 주간 동안 제어계측, 수도 분야와 같은 전문 분야 사이트를 노린 공격징후도 잇따라 탐지됐다.

지난 18일에는 무선센서를 제작 판매하는 XXX제어계측 사이트에서 대량의 악성URL이 삽입된 정황이 포착됐다. 해당 사이트에서는 다른 사이트를 방문하도록 유도하며, 사용자 정보와 사용자 추적코드를 확인하는 URL이 발견됐다.

이보다 하루 앞선 지난 17일에는 주강밸브 및 수도용 밸브 관련 사이트인 XX밸브에서 블랙홀 익스플로잇 킷(Blackhole Exploit Kit) 공격이 탐지됐다. 이와 함께 해당 사이트에서는 악성URL, 사용자 쿠키정보, 서명 CAB 파일을 체크하는 악성파일도 탐지됐다.

해당 사이트에 대해 메가톤은 “사이트 취약점 문제를 근본적으로 해결하지 않아 한 달 사이 유사한 공격을 반복적으로 받고 있다”며 “이처럼 보안이 취약한 중소기업 사이트의 경우 시스템 관리 또는 홈페이지 상에서의 악성코드 처리 개선이 제대로 이루어지지 않고 있다”고 지적했다.

방문자 많은 사이트 타깃, 악성코드 유포

많은 사람들이 방문하는 웹사이트를 대상으로 한 악성파일 유포를 통해 개인정보와 금융정보를 노리는 공격도 끊이지 않고 발견되고 있다.

지난 18일 XX일보 영자지 사이트에서는 드라이브-바이-다운로드(DBD) 방식의 악성코드가 유포된 정황이 포착됐으며, XXXXfvrr티스토리 사이트에서도 악성파일 삽입과 사용자 정보, 쿠키정보를 확인하는 악성URL이 탐지됐다. 이에 대해 메가톤은 “해당 사이트의 경우 개인정보 탈취 시도를 할 가능성이 높다”며 주의를 당부했다.

한편, 지난 17일 크롬 웹스토어 사이트에서는 크롬 확장 프로그램인 zenmate(vpn 프로그램)을 사칭하는 가짜 앱이 탐지됐으며, 크롬 확장 프로그램에는 Nuclear Exploit Kit이 삽입된 것으로 포착됐다.

파밍 여전히 활개

추석을 앞두고 개인사용자를 노린 파밍 사이트도 한 주간 기승을 부린 것으로 나타났다.

지난 18일에는 금융감독원을 사칭한 파밍 사이트가 발견됐다. 이와 관련 Auditor Lee는 “해당 IP로 직접 접속하면 MS 검색, 웹, 이미지, 뉴스, 동영상 검색 및 인물, 영화 정보, 트위터 검색 등 제공하는 사이트로 리다이렉트 된다”며 “추석을 앞두고 금융정보를 노린 파밍사이트가 활개를 치고 있다”며 주의를 당부했다.

이외에도 국내 호스팅 업체 도메인을 이용한 공격도 탐지됐다. 지난 18일 국내 호스팅 업체 도메인을 이용한 중국 불법 총기판매 사이트에서도 악성파일이 탐지됐다. 공격자는 해당 사이트에서 악성코드 파일을 FTP로 업로드하고, 악성파일을 배포하도록 홈페이지 소스를 변경했으며, 한국 호스팅 업체 도메인을 이용해 주기적으로 악성파일을 올려놓는 등 악성행위를 펼쳤다.

이와 관련 메가톤은 “해당 사이트의 경우 구글 세이프 브라우징 결과 최근 90일 동안 41개 페이지에서 악성 소프트웨어가 사용자의 동의 없이 다운로드 및 설치되는 것으로 나타났다”며 “지난 16일에도 악성 소프트웨어가 발견됐다”고 밝혔다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>