4월 첫 주에 이어 2주차부터 장비 탐지를 우회하기 위한 공격이 본격적으로 시작되었다고 빛스캔(대표 문일준) 측은 분석했다.
 
회사 관계자는 “공격 방식은 지난주와 동일하게 User-Agent(JAVA,IE, Adobe Flash Player)와 연관된 취약점으로 연결하는 방식을 사용했고, 최종 바이너리는 모두 동일한 파밍 악성코드로 연결하는 것으로 분석되었다”며 “그 외에도 단축 URL을 활용한 기법과 파밍 사이트의 리뉴얼 등 공격 형태가 다양화되었다. 2주차에는 신규 경유지를 활용한 공격이 감소했지만 다양한 공격이 등장했기 때문에 한국 인터넷 위협은 “주의”로 유지한다”고 전했다.

 
또 빛스캔 측은 “4월 1일, 모 대형병원의 모바일 홈페이지에 파밍 바이너리가 업로드되어 최종 다운로드지로 활용되는 정황이 포착되었다. 해당 병원에 업로드 된 바이너리는 파밍 악성코드로 확인되었고, 바이너리 감염시에 PC의 Mac 주소와 저장된 공인인증서를 탈취해 공격자 서버에 전송하는 활동도 관찰되었다”며 “더욱 우려되는 것은 최종 다운로드지로 활용된 곳이 병원홈페이지라는 점이다. 병원 같은 경우에는 실생활에 밀접한 관계가 있고, 내부에 환자 및 의료 정보 등 다양한 정보가 있기 때문에 보안에 대해서는 철저해야 한다. 하지만 해당 병원 같은 경우에는 공격자가 바이너리를 업로드 했다는 것은 이미 내부의 권한이 넘어간 상태로 볼 수 있다. 즉 내부와 연결이 되어 있다면 의료정보 유출과 같은 2차적인 피해로 이어질 수 있다”고 경고했다.
 
지난해에도 크고 작은 의료 관련 사이트가 악성코드 유포지/경유지로 활용되어 많은 의료인증서가 유출되는 사례가 있었기 때문에, 해당 사이트에서는 빠른 조치가 필요하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com