디아블로3 게임커뮤니티(diablo3.co.kr)에서 29일 오후 5시 40분 현재 악성코드가 유포되고 있다. 이 악성코드는 계정탈취용으로 디아블로3 유저들의 계정을 노린 악성코드다. 디아블로3 유저들은 해당 사이트에 접속만 해도 계정탈취용 악성코드에 감염이 될 수 있는 상황이기 때문에 주의해야 한다.

특히 이번 공격은 마이크로소프트 CVE 2012-1889 제로데이 악성코드를 이용한 공격이기 때문에 국내 유명 백신인 AhnLab-V3, nProtect, ViRobot 등이 탐지를 못하고 있는 상황이라 더욱 위험하다. 

 
공격자는 해당 사이트에 유저들을 속이기 위해 교묘한 악성링크를 걸어놓은 상황이다. 악성링크 URL을 보면 ‘www.diabio3.com/xxx.xx’(뒷 부분은 X 처리)로 걸려있다. 정상적인 디아블로3 스펠링처럼 보이지만 자세히 보면 ‘diabio3’라는 것을 알 수 있다.
 
만약 이 사이트에 접속한 유저의 PC가 최신 보안패치가 제대로 안되어 있을 경우 악성코드에 감염이 이루어지고 이를 통해 공격자는 유저의 디아블로3 계정을 탈취할 수 있는 상황이다.
 
특히 해당 사이트에 방문만 해도 이용자가 느끼지 못하는 사이에 자동으로 악성코드에 감염되는 상황이기 때문에 디아블로3 유저들은 해당 사이트 접속을 하지 않는 것이 안전하다.  
 
해당 악성링크를 최초 발견한 조근영 빛스캔 연구원은 “이번 악성코드는 아직 패치가 이루어지지 않은 MS XML 제로데이 취약점을 악용한 공격”이라며 “아직 패치가 나오지 않았기 때문에 해당 사이트 접속시 90% 이상의 이용자들이 악성코드에 감염될 수 있는 상황이다. 현재 해당 사이트에 접속은 하지 않아야 한다”고 조언했다.
 
또한 “이러한 악성링크 삽입이 이루어졌다는 것은 이미 해킹을 당해 회원정보 DB 탈취나 시스템 장악이 이루어진 후 가능한 것”이라며 “해당 게임커뮤니티의 회원들은 아이디와 비밀번호가 유출됐을 수 있기 때문에 즉시 비밀번호 변경을 해야 한다. 또한 디아블로3 계정과 동일한 아이디와 비밀번호를 사용하고 있는 유저라면 더욱 위험한 상황”이라고 경고했다.

 
한편 “디아블로3 관련해서 여러 게임커뮤니티가 존재한다. 이러한 사이트에서도 악성코드 감염이 이루어질 수 있기 때문에 주의해야 한다”고 덧붙였다.
 
현재 디아블로3 게임 동시접속자 수가 43만 명에 달하고 있다. 이중 많은 유저들이 게임커뮤니티에서 게임관련 정보를 얻고 있기 때문에 많은 유저들이 게임커뮤니티 접속을 하고 있는 상황이다. 따라서 게임커뮤니티를 통한 악성코드 유포는 게임 유저들에게 큰 위협으로 다가올 수 있다.
 
조근영 연구원은 “이러한 대량 악성코드 유포를 차단하기 위한 방안으로는 우선 악성코드 유포에 이용되는 많은 웹사이트들의 문제점을 개선해야 하고 또 대규모 확산 이전에 차단하는 노력이 병행되어야 한다”고 강조했다.   

또 "현재 바이러스 토탈 검사결과 국내 백신은 전혀 탐지를 못하고 있는 상황"이라며 "백신을 설치했더라도 감염이 되고 있다. 주의해야 한다"고 덧붙였다.

<추가 기사>
29일 밤 9시 경 디아블로3 게임커뮤니티 운영자는 데일리시큐 기사를 보고 악성링크를 제거했다고 기자에게 연락을 해 왔다. 하지만 빛스캔 관계자는 악성링크를 제거했다고 하지만 공격자가 제거된 상황을 알게 되면 언제든 다시 링크를 걸어놓을 수 있는 상황이라고 한다. 즉 근본적인 문제 해결이 되지 않는다면 해당 사이트에는 지속적으로 악성링크가 걸릴 수 있는 상황이기 때문에 관리자와 이용자는 지속적으로 주의를 기울여야 한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com