취약한 소스코드 수정과 웹방화벽 업데이트 필요

이용자, 사이트 접속전 백신 사용 및 업데이트 필수!

중국 악성 해커들에 의해 SQL인젝션 공격이 계속되고 있다. 대부분 공격은 트로이목마를 다운시키도록 유도하고 있으며 이는 WOW 온라인 게임계정을 탈취하기위해 작동한다. 만약 백신 업데이트가 되지 않은 유저가 SQL인젝션 공격을 받은 사이트에 접속하면 해당 트로이목마가 설치되고 WOW 게임에 접속함과 동시에 게임계정이 크래커의 손에 넘어가게 되는 공격유형이다. 

지난 4월초부터 시작된 ‘Mass SQL인젝션’ 공격은 지난 23일(금) 오후 6시경 보안뉴스와 MBC프로덕션을 비롯한 국내 많은 사이트들을 대상으로 공격을 시도했고 악성코드를 삽입시킨 것으로 확인됐다.

(hxxp://www.chliyi.com/m.js’로 삽입)

이에 보안뉴스는 23일 9시 30분경 악성스크립트를 삭제하고 기존 웹방화벽 정책을 더욱 강화하는 등 재발방지를 위해 노력중에 있다. 현재 메인화면에 공지사항을 게재하고 악성코드 삽입당시 보안뉴스(www.boannews.com)에 접속한 유저들에게 바이러스 체크를 반드시 하도록 당부하고 있다.

모 정보보호 전문가는 “악성코드 서버나 피해 사이트에 접속하면 악성코드에 감염될 수 있기 때문에 반드시 상용 백신을 업데이트하는 것이 중요하다”며 “사이트 관리자들은 SQL인젝션 공격을 막기 위해 소스코드 취약점을 철저하게 점검해 수정하고 웹방화벽 업데이트에 신경을 써야한다”고 강조했다.

또 다른 관계자는 “이 공격은 지난 4월 1일 보고됐으며 취약점 코드가 정상적으로 작동하게 되면 ‘http://jj(생략).net/inc/fuckkr.exe’라는 트로이목마를 다운받도록 실행된다”며 “fukker라는 파일명을 사용하는 것은 한국(kr)을 비하하는 의미로 사용되고 해당 파일은 WOW 온라인 게임 사용자의 계정탈취를 목적으로 하고 있다”고 경고했다.

한편 모 보안블로그에는 동일한 유형의 피해 및 의심사이트를 올려놓고 있어 해당 사이트 관계자들은 철저한 보안대책을 강구해야 할 것으로 보인다. 공격 의심 사이트는 다음과 같다.

www.goodmorningbook.com, www.mbcpro.co.kr, www.pac.or.kr, www.newsfan.co.kr, www.yubang.com, school.haja.net, bisd.or.kr, www.korean.com.cn, www.sciencenews.co.kr, www.ohang.co.kr,  www.magogarden.or.kr, trhong.els21.co.kr, www.smilenjoy.com, www.karpkr.org

www.all4pro.com, jumpoline.com, www.sgo.org, www.doultech.co.kr, www.card.iastate.edu, page2rss.com, huri.jugong.co.kr, www.msshop.co.kr, www.873k.com, www.toptravelusa.com, www.gamemol.co.kr, csline.serve.co.kr, www.hellocook.com, www.ganhojob.com, www.cbck.or.kr, www.campus21.co.kr, correct.heeso.co.kr, www.ceonews.co.kr, www.algemeiner.com, www.atoonz.net, www.haksamo.org, wowvideo.co.kr, www.jisikmall.com 등이다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>