2020-03-30 19:10 (월)
군 관련 협회에 카운터링크 삽입, 악성코드 공격 전초단계
상태바
군 관련 협회에 카운터링크 삽입, 악성코드 공격 전초단계
  • 길민권
  • 승인 2015.09.18 18:31
이 기사를 공유합니다

빛스캔 “공격 전에 타깃 사이트에 대한 동향 파악 위해 카운터링크 사용”
지난 9월 1주차 악성코드 유포 동향을 보면, 하위링크의 변경을 통한 공격과 함께 사전 공격 징후인 카운터 링크와 404 Not Found가 주로 발견되었다. 특히 카운터 링크가 삽입된 웹사이트 중에서는 대형 언론사와 군 관련 사이트가 포함된 것으로 조사됐다. 이외에도 특정 연구소 사이트에서는 직접적인 악성링크가 삽입되어 파밍 악성코드를 다운로드를 시키는 역할을 하기도 해 주의가 요구된다.
 
빛스캔(대표 문일준) 측은 “9월 1주차는 악성코드의 움직임은 다소 한산했지만, 사전 공격징후와 특정 사이트를 통한 악성코드 유포와 같은 이슈가 있기 때문에 한국 인터넷 위협 수준은 주의를 계속 유지한다”며 “1주차에는 하위링크를 주로 활용한 악성코드가 유포되면서 신규 경유지는 지난주에 비해 크게 감소하는 모습을 보였다. 하지만 파급력은 계속 일정 수치를 유지했는데, 그 이유로는 앞서 언급했듯 사용자 방문이 많고 규모가 큰 사이트를 통해서 악성코드 및 카운터 링크가 삽입되었기 때문”이라고 밝혔다.

 
또 회사 측은 “9월달 들면서 사용자의 방문이 많은 웹사이트에 대한 악성링크 삽입이 계속 증가하고 있다. 9월 5일경에는 제대 군인들을 지원하는 보훈처 산하 단체 사이트에서 악성코드로 공격하기 직전에 나타나는 카운터 링크가 해당 사이트에 삽입되었다. 카운터 링크는 공격자가 공격킷을 활용하기 전에 사이트에 대한 동향과 트래픽 등을 파악하기 위한 용도로 쓰이고 있으며, 그 이후에는 공격킷을 넣어 활용하는 현상이 대부분 발생하고 있다”고 설명했다.
 
특히, 모 협회 사이트 같은 경우 일반인의 접속보다는 군과 관련된 사용자의 접속이 높을 수 밖에 없기 때문에, 카운터링크가 직접적인 공격코드로 변경이 될 경우 군 관련 정보 등의 유출 가능성도 있어 빠른 조치가 필요하다.
 
2013년에는 군장성 사이트인 X우회에서 워터링 홀 공격이 발생한 바 있는데, 해당 사이트도 초기에는 카운터링크가 일정기간 활동 후 직접 공격코드가 삽입되었다가 나타나지 않은 것으로 확인된 바 있다.
 
빛스캔 측은 “새로 구축하는 과정에서 기존에 악성코드 또는 SQL Injection과 같은 웹취약점 및 이를 이용해 설치된 웹쉘 등을 해결했을 가능성이 높다. 하지만 웹사이트는 지속적으로 컨텐츠와 소스가 변경되기 때문에 정기적인 웹 취약점 점검 등이 이뤄지지 않는다면, 차후 악성링크 삽입 등 공격이 발생할 가능성이 높아 지며 유명 택배사이트 또한 유사한 사례로 추정된다”고 말했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com