2020-05-27 11:45 (수)
[긴급] 디시인사이드 2개 사이트 악성코드 유포중!
상태바
[긴급] 디시인사이드 2개 사이트 악성코드 유포중!
  • 길민권
  • 승인 2011.07.16 04:49
이 기사를 공유합니다

플래시 플레이어 취약점 악용 게임계정탈취 악성코드 유포중
15일 밤부터 디시인사이드 갤러리와 중고장터 페이지에서 유포
주말을 앞둔 매주 금요일 저녁 9시, 중국 사이버 범죄자들은 분주하다. 돈벌이를 해야 하기 때문이다. 한국의 유명 웹하드, P2P, 소셜 커머스, 유명 커뮤니티 사이트 등 한국 유저들이 몰리는 사이트에 악성코드를 유포해야 하기 때문이다.
 
15일, 금요일 밤9시부터 디시인사이드 갤러리와 중고장터 페이지에 악성코드가 유포되고 있는 것이 확인됐다. 목적은 한국인 게임계정 탈취에 있다.
 
디시인사이드 갤러리와 중고장터 페이지에서 악성코드 유포를 발견하고 분석에 들어간 장상근 하우리 기술연구소 주임연구원은 실시간으로 기자와 메신저를 통해 분석 내용을 공유하고 취재에 임해줬다. 이용자들의 피해를 줄이기 위해 금쪽 같은 토요일 새벽을 바친 것이다. 많은 백신업체 대응팀원들이 이런 고생들을 하고 있구나 새삼 느낄 수 있는 시간이었다.
 
장상근 연구원은 “중국 범죄자로 추정되는 자들이 어도비 플래시 플레이어 취약점을 이용해 악성코드를 유포 중에 있다. 지난 6월 14일 어도비에서 패치를 공개했지만 여전히 보안업데이트를 하지 않은 이용자들이 많기 때문에 감염자가 속출할 것”이라며 “어도비 홈페이지를 통해 바로 최신보안패치를 해야 한다”고 경고했다.
 
왜 지속적으로 악성코드 유포가 가능한 것일까. 장 연구원은 “보통 악성코드를 유포하는 사이트의 소스코드를 보면 난잡하다는 느낌이 든다. 보안코딩이 안된 것”이라며 “정기적인 웹 페이지 보안 취약점 점검과 패치작업을 하지 않기 때문에 발생하는 문제다. 침해사고를 당했으면 당한 부분을 찾아내 다시 침해 당하지 않도록 만들어야 하는데 백업된 데이터를 통해 다시 복구하기 때문에 계속 감염사고가 터지고 있다”고 지적했다. 결국 사이트 운영자의 안일한 보안의식이 문제라는 것이다. 
 
한국 사이트에 악성코드를 뿌리기 위해 중국 범죄자들은 3,000개 정도의 유포 경유지를 확보하고 있다고 한다.
 
장 연구원은 “악성코드 유포를 위해 경유지가 필요한데 보통 1개에서 2~3개 정도 경유지를 거쳐 한국 사이트에 악성코드를 뿌리고 있다”며 “중국 유포자들은 경유지 사이트만 3,000개 정도 가지고 있다. 대부분 관리가 안되는 방치 사이트들”이라고 설명했다. 이 사이트들은 SQL인젝션 공격으로 해킹당한 사이트들이고 3,000개나 되는 블랙 사이트를 경유지로 최종 목표인 한국 사이트에 악성코드를 유포하고 있는 것이다.
 
현재(7월 16일 04시 20분)도 디시인사이드 갤러리와 중고장터에서는 악성코드가 유포되고 있다. 어도비 플래시 플레이어 최신버전이 설치되지 않은 이용자는 감염된다.(아래 분석내용 제공. 장상근 하우리 기술연구소 주임연구원)





 
장 연구원은 “주말마다 이런 감염 패턴으로 계속 반복되고 있다. 어도비 플래시 플레이어 취약점 뿐만 아니라 윈도우 취약점 등을 활용해 악성코드를 유포하고 있다”며 “백신도 시그니쳐 방식으로 업데이트를 하기 때문에 대응이 늦을 수 있다. 백신도 최신버전으로 업데이트 해줘야 하지만 윈도우나 어도비 최신 버전으로 업데이트하는 것도 예방을 위해 가장 중요한 작업”이라고 강조했다.
 
또 그는 “일반인들이 확인할 수 있는 증상은 특정 사이트에 접속시 브라우저가 멈추거나 에러 메시지 창이 뜨는 등 접속이 느려질 경우 파악을 할 수 있다”고 말했다.
 
현재 디시인사이드 갤러리와 중고장터 페이지에는 게임계정탈취용 악성코가 유포되고 있다. 인터넷 이용자들은 어도비 최신패치(get.adobe.com/kr/flashplayer/)를 신속하게 하고 특히 금요일 저녁부터는 파일 공유사이트나 유명 커뮤니티 사이트 접속시 악성코드 감염에 주의해야 한다. [데일리시큐=길민권 기자]