대형 치과병원 사내 사이트 해킹, 네이버 사칭 사이트 발견
매크로형 바이러스와 랜섬웨어도 국내 사이트에서 줄줄이 포착

[보안뉴스 김경애] 한 주간 전국 9개 지점을 보유한 치과병원 사내 사이트가 해킹됐으며, 네이버를 사칭한 악성사이트도 발견됐다. 또한, XX설계용역업무 지원시스템 사이트에 업로드된 엑셀 파일에서는 매크로용 바이러스가 탐지됐으며, 배송과 구매대행 사이트에서는 랜섬웨어가 탐지됐다. 다음은 악성링크가 발견된 국내 웹사이트 현황을 분석한 결과다.

1. XX사랑치과 사이트
강남 본원을 포함해 전국 9개 지점이 있는 XX사랑치과 사이트가 해킹됐다.


지난 21일 본지에 알려온 한 제보자는 “치과 사이트 공지사항에 해킹관련 글이 올라왔다”며 “모두보세요 게시판에는 공격자가 자신이 해킹했다는 사실을 과시하기 위해 ‘Hacked By ~’라는 제목의 글이 올라왔다”고 밝혔다.

본지가 22일 해당 사이트를 살펴본 결과, 해당사이트 홍보과에서 올린 것으로 보이는 ‘해킹으로 인한 게시판 오류안내(2.18일 이전으로 복구)’ 제목으로 글이 올라왔다.


하지만 ‘모두보세요’라는 게시판에 올라온 ‘해킹으로 인한 게시판 오류안내(2.18일 이전으로 복구)’ 글은 읽을 권한이 없어 볼 수가 없었다. 이에 기자가 회원가입을 한 후, 다시 클릭을 시도했지만 여전히 읽을 수 없었다. 이와 관련 해당 병원 관계자는 23일 “사내 사이트가 해킹된 것”이라고 밝혔다.

2. 네이버 사칭 사이트
지난 19일에는 네이버를 사칭한 사이트가 발견되기도 했다.


네이버 사칭 도메인은 navehr.com이며, 악성URL을 삽입했다. 이보다 앞서 지난 15일에는 악성코드를 유포한 정황도 포착됐다. 특히, 사칭사이트는 일정 시간 경과 후 네이버로 접속 변경되도록 설계돼 있는 것으로 분석됐다.

이를 본지에 제보한 메가톤(닉네임)은 “해당 사이트에 접속할 경우 exe 악성파일을 내려받도록 유도한다”며 “유저 정보 체크, 사용자 쿠키 체크, 의심스러운 URL, 사용자 정보 확인, 사용자 쿠키 체크, EXE 파일 서명 등을 한다”고 설명했다.

3. XX설계용역업무 지원시스템
이보다 앞서 지난 18일에는 XX설계용역업무 지원시스템 사이트에 업로드된 엑셀 파일에서 매크로용 바이러스가 탐지됐다.


바이러스 진단명은 Aliases: Virus.MSExcel.Laroux.di (Kaspersky), X97M/Laroux.cs.gen (McAfee), Bloodhound.ExcelMacro (Symantec), X97M/Laroux.CD (Avira), XM97/Laroux-Fam (Sophos)이며, 감염보고의 유무는 ‘있’음으로 분석됐다.

영향을받는 소프트웨어는 Windows 98, ME, 2000, XP, Server 2003이며, ‘X97M_LAROUX.BB’의 동작은 파일을 감염시킨다. 해당 바이러스는 다른 악성 프로그램과 악의적인 웹사이트, 사용자의 수동 설치 등을 통해 침입하는 것으로 알려졌다.

4. ‘XX솔루션 해외 배송 구매 역직구’ 사이트
16일에는 배송과 구매대행 사이트인 ‘XX솔루션 해외 배송 구매 역직구’ 사이트에서 랜섬웨어가 탐지됐다.


이를 분석한 윈스 이예량 주임은 “해당 사이트에서 역직구/해외발송 서비스 이용을 하면 해외 사이트로 접근을 하는데 이 때 플래시 파일을 통해 CVE-2015-5119 취약점을 이용해 랜섬웨어를 감염시킨다”며 “감염된 랜섬웨어는 테슬라크립토월 3.0의 변종으로 최근 .mp3 확장자로 사용자의 파일을 암호화한다”고 분석했다.


한편, 인터넷침해사고 경보단계는 23일 기준으로 ‘주의’로 유지되고 있다. 악성코드가 발견된 홈페이지 수는 전날보다 9개, 신종 스미싱 악성 앱은 1개, 피싱과 파밍 차단 사이트는 6개씩 각각 증가했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>