금융정보 탈취 및 원격제어용 등, 지난 19일 주말 악성코드 유포 활발

[보안뉴스 김경애] 지난 주말부터 악성코드 유포가 급증하며, 활발한 활동을 보이고 있어 이용자들의 각별한 주의가 요구된다. 지난 19일 주말에는 언론, 취업포털, 유학정보센터, 웨딩, 쇼핑몰 등 다양한 분야 웹사이트에서 악성코드가 유포됐다.

더욱이 최근 북한의 핵실험과 장거리미사일 발사 등으로 인한 남북간의 긴장감 속에 사이버위협도 고조되고 있어 홈페이지 관리는 더욱 중요하다. 하지만 국내 웹사이트 곳곳에서는 여전히 보안 관리가 허술해 악성코드가 줄줄이 포착되는가 하면, 유포지로 악용돼 한 주간 악성코드가 활개를 쳤다.


1. XXX벨리, 악성코드 발견
22일 통신솔루션과 시스템 개발 전문업체인 XXX벨리 사이트에서 악성코드가 발견됐다. 더욱이 해당 사이트는 지난 2월 24일에도 악성코드가 발견된 바 있다. 이에 대해 메가톤은 “한 달 기간에 악성코드가 재배포되었다는 건 보안관리가 허술한 것”이라며 “관리자 권한이 탈취됐을 가능성이 높다”고 밝혔다.

2. 주말동안 악성코드 유포 활발



이보다 앞서 지난 19일에는 언론사 2곳에서 악성코드가 유포됐다. 해당 악성코드는 금융정보 탈취용 악성코드로 분석됐다.



이어 같은 날 유학정보센터와 한 대학교에서도 악성코드가 유포됐다. 해당 악성코드는 원격제어 악성코드로 신학기 시즌을 맞이해 공격자가 이를 노리고, 대학교, 유학정보관련 사이트가 악성코드 유포지로 악용한 것이다.

이와 관련 제로서트는 “주말 기간 동안 웹사이트를 통해 악성코드 유포가 기승을 부리고 있다”며 “이용자들은 웹사이트 방문에 주의해야 하며, 보안담당자들은 웹사이트 보안에 각별히 신경써야 한다”고 당부했다.

3. 북한관련 포럼 홈페이지 악성코드 유포
지난 19일 북한XXX 청년학생포럼 사이트에서도 악성코드가 유포됐다.


이와 관련 MDsoft(대표 백진성) 관계자는 “해당 홈페이지는 일반 사용자의 방문 빈도보다는 특정 계층의 방문 빈도가 다소 높은 홈페이지로 북한 민주화와 관련된 사업을 진행하고 통일과 인권 등 다양한 주제를 다루고 있다”며 “해당 홈페이지가 악성코드 유포에 활용되는 것은 정보 탈취나 시스템 파괴와 같은 악의적인 목적이 있을 수도 있는 만큼 종합적인 점검이 필요하다”고 밝혔다. 또한 “망고스캔 시스템서 조회한 결과, 해당 악성링크는 19일 오전 국내 웹 사이트에 삽입돼 영향을 줬으며 다수의 홈페이지 포진된 것으로 확인됐다”고 덧붙였다.

4. 한마음사회복지재단 악성코드 삽입
이보다 앞서 지난 17일에는 XXX사회복지재단에서 악성코드가 발견됐다.


이에 대해 메가톤은 “악성코드 삽입으로 인해 관리자 권한이 탈취될 수 있다”며 “해당사이트의 호스팅업체가 윈도우 서버 2003(Windows Server 2003)를 사용하고 있는 것으로 보이며, 이는 마이크로소프트사가 지원을 종료함에 따라 취약점 노출이 될 수있고, 이로 인해 계속적인 악성코드 삽입이 가능해 위험하다”고 밝혔다.

5. 취업 관련 사이트에서 악성 URL 발견
지난 14일에는 스카우트 등 최소 3곳의 취업 관련 사이트에서 악성 URL이 발견됐다. 악성URL은 메인 페이지 내에 삽입됐으며, 해당 URL은 하위링크를 지속적으로 변화시켰다. 또한 최종적으로 다운로드 된 바이너리는 파밍 기능이 있는 것으로 분석됐다.


이에 대해 빛스캔(대표 문일준)는 “취업 사이트를 통한 유포는 계절적 영향의 가장 큰 특징 중 하나로, 매년 상반기와 하반기 공채 기간에 포착되고 있다”며 “공격자가 가장 쉽게 사용자들을 악성코드에 감염시킬 수 있는 수단이기 때문에 동향에 대해 예의주시할 필요가 있다”고 당부했다.


한편 인터넷침해사고 경보단계는 22일 기준 여전히 주의단계이며, 오늘의 사이버위협에서 악성코드 발견은 50개로 전날보다 감소, 신종 스미싱 악성앱 0개, 피싱과 파밍 차단 사이트 265개로 증가했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>