2024-03-29 11:05 (금)
명문대학과 유명 리조트 사이트, 네이버 파밍 악성코드 감염 확인
상태바
명문대학과 유명 리조트 사이트, 네이버 파밍 악성코드 감염 확인
  • 길민권
  • 승인 2016.07.29 01:21
이 기사를 공유합니다

네이버 계정정보 탈취 목적으로 유포되고 있는 파밍 악성코드…감염 주의
서울소재 명문대학교와 유명 리조트 사이트가 접속자의 네이버 계정정보 탈취를 목적으로 유포되고 있는 파밍 악성코드에 감염된 것이 확인됐다. 이용자들의 각별한 주의가 요구된다.
 
에프원시큐리티 측은 27일 데일리시큐에 유명 대학교와 리조트 사이트가 악성코드에 감염된 사실을 제보하며 “현재 두 사이트에 악성 파일이 업로드된 상태이며 추후 다른 악성코드가 유입될 위험성이 크다”고 경고했다.

 
회사 측 설명에 따르면, 모 명문대학 국가지원연구센터 페이지에 3.js 파일을 스크립트로 로드시킨 후 iframe을 통해 메인페이지로 연결 해 악의적 행동을 은폐하고 있다. 7월 27 오후 3시경 보고서를 작성하는 현재까지 감염된 상태”라며 “특정 값의 wcs_bt_rand 쿠키가 존재하지 않을시에만 악성 iframe으로 연결이 가능하며 set cookie가 있는 것을 보면 처음 접속시에만 악의적 행위를 하는 것으로 추정된다”고 설명했다. 리조트 사이트도 마찬가지 상태로 확인됐다.
 
특히 악성파일이 조치가 되었다가 다시 올라온 것이 확인돼 재 공격이 이루어지고 있음을 경고하고 빠른 조치가 필요하다고 강조했다.
 
에프원시큐리티 관계자는 “단순 외부 링크 접속으로 인한 악성코드 감염이 아닌 해당 페이지 내부 소스가 은폐 되고 있는 것으로 미루어 내부 파일이 변경되었을 가능성이 존재한다. 또 연결 iframe이나 연결된 js파일 안의 주소가 다른 주소로 변경되어 2차, 3차 피해가 생길 수 있어 빠른 조치가 필요하다”고 말했다.
 
또 예방 및 대응 방법에 대해 “서버와 웹 페이지 취약점 점검을 실시하고 사용 서비스 소프트웨어를 모두 최신으로 업데이트해 재감염을 방지해야 한다. 그리고 수시로 모든 페이지를 점검하고 관리해야 하지만 이에 대한 리소스가 매우 많이 필요하기 때문에 wmds 등 자동 탐지 시스템을 적용해 감염 즉시 빠르게 발견해 이에 대한 대응을 할 수 있도록 대비하는 것이 필요하다”고 덧붙였다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★