2024-04-20 04:30 (토)
한수원 내부직원, 지난 3월과 7월 악성코드 감염 가능성 대두
상태바
한수원 내부직원, 지난 3월과 7월 악성코드 감염 가능성 대두
  • 길민권
  • 승인 2014.12.29 15:53
이 기사를 공유합니다
빛스캔 “한수원 내부 직원용 여행사이트에 3월과 7월 악성코드 유포 확인”
한국수력원자력(이하 한수원)에 대한 사이버테러가 지난 12월 9일 공격자들로부터 발송된 스피어피싱 이메일로부터 시작됐다는 것이 한수원 측의 공식 입장이다. 하지만 그 이전 한수원 일부 직원들이 악성코드 감염에 의해 내부 문서유출이 장기간에 걸쳐 이루어졌을 것이라는 새로운 의견이 제기됐다.


▲한수원 직원 전용 여행사 웹페이지.
 
29일, 빛스캔(대표 문일준) 측은 “국내 유명 여행사 사이트에서 한수원 내부 직원을 위한 여행 전용 웹페이지를 제작해 운영하고 있다. 문제는 해당 여행사 사이트에 7월 21일 악성링크가 삽입돼 연관된 사이트 대부분에 영향을 준 바 있다”며 “이 시기가 여름 휴가철이라 한수원 직원중 일부가 해당 사이트에 접속해 악성코드 감염이 이루어졌을 가능성이 크다. 이번 한수원 정보유출과 연관성이 있을 수 있어 관련 사안에 대해 분석이 필요할 것”이라고 밝혔다.


▲국내 유명 여행사 한수원 페이지를 통해 삽입된 악성링크 정보
 
이번 공격이 지금까지 9일 한수원 직원을 대상으로 한 스피어피싱에만 초점이 맞춰져 있었지만 웹을 통한 악성코드 감염 가능성이 제기돼 다시 한번 논란이 예상된다. 즉 7월에 한수원 내부 PC가 악성코드에 감염돼 이때부터 내부 문서 유출이 됐을 가능성이 제기된 것이다.
 
보안전문가들도 공격자들이 말한 대로 10만건에 달하는 내부 문서가 유출됐다면 이미 12월 이전부터 유출이 이루어졌을 것이란 분석도 나오고 있다.
 
빛스캔 측은 “당시 기록을 살펴보면, 모 여행사에 악성링크가 삽입된 이후 관련되었던, 카테고리 사이트와 연관되어 있는 대부분의 사이트가 동시에 같은 악성링크가 삽입되어 영향을 주었다. 이 과정에서 한수원이 포함되어 해당 악성링크의 영향을 받았던 것으로 추정된다”며 “특히 한수원 여행 사이트 같은 경우 한수원 임직원만 이용하도록 제작된 사이트로 일반인이 접근해 이용하기는 쉽지 않다. 즉 내부 임직원을 위한 페이지일 확률이 높다고 볼 수 있으며 보안에 취약한 한수원 내부 사용자가 이 기간 동안에 해당 사이트를 방문했을 경우에는 악성코드의 감염확률이 높았을 것”이라고 우려했다.
 
빛스캔 측의 7월 여행사 공격코드 분석 결과를 보면, JAVA, Adobe Flash, Windows 등 모두 8개의 취약점을 노린 Caihong Exploit Kit이 활용되었으며, 공격킷에 언급된 취약점 중 하나만 패치가 되지 않았더라도 바로 악성코드에 감염된다는 것. 즉 8개 취약점 중 단 하나만 노출되어도 악성코드에 감염될 수 있는 상황인 것이다.
 
더불어 악성링크의 영향을 받은 사이트의 수는 여행사를 포함해 대형 쇼핑몰 사이트 등 빛스캔이 확인한 곳이 최소 7곳이며, 전체 연결된 서비스가 영향을 받았다고 보고 있다. 즉 서버의 권한을 획득한 상태에서 서브 페이지까지 모두 영향을 주는 것은 당연한 것이라고 설명했다.
 
한편 빛스캔 PCDS의 기록상에는 지난 3월에도 해당 여행사 전체 서비스에서 악성코드 감염을 일으키는 정황이 발견된 기록이 있다. 당시 한수원 관련된 서비스까지 영향을 일으키는 것을 확인할 수 없었지만 7월의 경우와 동일하게 전체가 영향을 받았다고 보면, 지난 3월에도 한수원 여행 사이트를 통해서 임직원들 대상으로 악성코드가 감염됐을 가능성도 있었을 것이라고 보고 있다.
 
당시 감염에 이용된 악성코드를 분석한 결과, 파밍과 공인인증서 탈취 기능을 기본으로 내장하고 있는 트로이목마로 확인되었다. 대부분의 경우, 내부에 있는 정보를 빼내갈 수 있도록 RAT(Remote Admin Tool)이 설치되며 국내에서 대표적으로 이용되는 gh0st RAT의 경우, 화면 캡쳐, 파일 전송, 레지스트리/서비스, 명령창 실행 등 거의 모든 기능을 수행할 수 있다.
 
회사 측은, “내부 임직원의 PC가 웹서핑을 통해 좀비 PC가 된다면, 내부침입을 위한 진입지점으로 직접 이용될 수 있을 것”이라며 “웹사이트 방문시 악성링크를 통해 내려오는 악성코드를 적절히 차단하지 못한다면 감염될 수 밖에 없으며, 감염된 좀비 PC는 내부망을 공격하기 위한 발판이 되고, 오랜기간 내부망을 종횡무진 누비면서 자료를 유출하는 상황에서도 그 어떤 경고도 발생되지 않았다는 점은 기존의 보안 체계와 제품들이 직면한 현실적 한계를 볼 수 있다”고 지적했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권
길민권 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트