악성코드의 활동이 잠시 소강상태를 유지했었지만, 지난주 들면서 예년 8월달 수준으로 회복하는 모습을 보였다. 특히, MalwareNet은 약 70여개의 웹사이트를 보유한 소규모로 관찰됐지만, 이 사이트 내에서는 사용자의 방문이 많은 사이트가 포함되어 영향을 주었다. 더욱이 기존에 등장한 바 있는 레퍼러 체크를 통한 악성링크를 연결하는 기법도 동일한 사이트에서 하위링크만 변경된 채로 꾸준히 탐지되었다.
 
빛스캔(대표 문일준) 측은 “8월 5주차에는 신규 경유지의 증가와 소규모 MalwareNet의 활동이 있으면서, 파급력이 전 주에 비해 크게 증가한 것으로 나타났다. 지난 수년 간의 동향을 분석한 결과, 지난주 악성코드 및 악성링크의 활동은 추석 연휴직전까지 꾸준히 유지될 것으로 예상된다”고 전했다.

 
한편 이 회사 관계자는 “지난해부터 택배 및 포장이사 전문 종합물류기업 XXX캡 사이트가 지속적으로 악성코드 유포지 및 경유지로 자주 활용되었으며, 문제가 계속 되면서 사이트에 대한 전체적인 점검과 함께 리뉴얼 작업을 진행했다”며 “이후 악성코드는 한동안 등장하지 않았지만, 지난 8월 24일 다시 해당 사이트의 공용 모듈에서 비정상링크가 발견되었다. 삽입된 악성링크에는 직접적인 공격 코드가 아닌 사용자의 접속비율 등을 살펴볼 수 있는 카운터링크로 연결되어 실제적인 피해가 없다고 볼 수도 있지만, 공격의 통로가 열려 있는 이상 악성링크가 다시 삽입 될 수 있는 가능성이 높기 때문에, 취약한 통로를 빠르게 탐지해 수정하는 것이 중요하다”고 강조했다.
 
해당 사이트는 지난 2013년도부터 2014년 2월까지 극심한 악성코드 유포 활동을 보여온 요주의 사이트로 2014년 2월경 새로운 웹사이트로 리뉴얼되면서 악성링크 활동이 나타나지 않은 것으로 확인되었다.
 
즉, 새로 구축하는 과정에서 기존에 설치되었을 수도 있는 루트킷과 같은 악성코드 또는 SQL 인젝션과 같은 웹취약점 및 이를 이용해 설치된 웹쉘 등을 해결했을 가능성이 높다.
 
빛스캔 관계자는 “웹사이트는 지속적으로 컨텐츠와 소스가 변경되기 때문에 정기적인 웹 취약점 점검 등이 이뤄지지 않는다면, 악성링크 삽입 등 공격이 발생할 가능성이 높아 진다”고 경고했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com