2020-02-28 07:50 (금)
게임커뮤니티 데일리게임…악성코드 유포 위험!
상태바
게임커뮤니티 데일리게임…악성코드 유포 위험!
  • 길민권
  • 승인 2012.08.07 01:16
이 기사를 공유합니다

던파 게임커뮤니티, 계정탈취용 악성코드…접속만 해도 감염 위험!
게임계정 탈취를 위한 악성코드 공격이 계속 기승을 부리고 있다. 특히 게임 유저들이 자주 방문하는 게임커뮤니티가 악성코드 유포의 주요 타깃이 되고 있어 상당한 주의를 기울여야 한다. 
 
빛스캔 조근영 연구원은 “데일리게임은 창간한지 4년차의 중소규모 게임 커뮤니티 사이트이다. 게임 커뮤니티이기 때문에 특히 게임유저들이 많이 접속하고 있다. 이러한 데일리게임 웹사이트에서 지난 8월 4일부터 게임계정탈취용 악성코드를 유포하고 있다. 현재 악성코드는 다운 받아지지 않지만 악성링크는 여전히 삽입되어 있는 상태로 공격자들이 악성코드를 올리기만 한다면 데일리게임에 접속하는 사용자들은 악성코드 감염이 이루어질 수 있는 위험한 상황이다”라고 경고했다.


<데일리게임 악성코드 유포, 8월 4일 0시 34분>
 
만약 이 사이트에 접속한 유저의 PC가 최신 보안패치가 제대로 되어 있지 않을 경우 악성코드에 감염이 이루어지고 이를 통해 공격자는 유저의 게임 계정을 탈취할 수 있는 상황이다. 특히 해당 사이트에 방문만 해도 이용자가 느끼지 못하는 사이에 자동으로 악성코드에 감염되는 상황이기 때문에 게임 유저들은 해당 사이트 접속을 하지 않는 것이 안전하다.

 
데일리게임 웹사이트에는 2개의 악성링크가 삽입되어 있다. 현재는 악성코드가 다운로드 안되지만 악성링크는 여전히 삽입되어 있다. 공격자가 원한다면 언제라도 악성코드를 삽입할 수 있는 상황이다.

 
해당 악성링크는 각종 취약성들이 복합적으로 악용되고 있어 공격 성공률을 높이고 있다. Java 관련된 취약점인 CVE-2011-3544, CVE-2012-0507, CVE-2012-1723 등이 악용되고 있다. 또한 MS XML 취약점인 CVE-2012-1889도 사용됐다. 이미 패치를 발표했지만 각종 애플리케이션, 윈도우 업데이트 등을 사용자가 하지 않아 사용자 PC가 위험에 노출되어 있다. 주로 공격에 사용되는 자바, 플래시, 윈도우 최신 업데이트는 반드시 해야 한다.
 
최종 사용자 PC에 설치되는 악성코드는 국내 다수의 게임 계정을 해킹하는 용도로 사용되었다. 최종 설치파일은 mm.jpg이며 usp10.dll 파일변조 및 DLL 인젝션을 통해 각종 국내 유명 게임들이 실행될 경우 시스템 레벨에서 계정 정보를 탈취하는 역할을 수행한 것으로 드러났다.
 
특히 최근 위험한 상황은 현재 공걱자들은 웹페이지에 접속하는 것만으로도(Drive by download) 사용자 PC를 좀비 PC로 만들 수 있다. 또한 관리자들이 퇴근한 시간인 금요일 저녁부터 공격을 시작하고 있다. 그래서 악성코드 공격에 대한 대응에 어려움이 있는 것이다.
 
조근영 빛스캔(www.facebook.com/bitscan) 연구원은 “이렇게 악성링크가 삽입되었다는 것은 이미 서버에 대한 권한을 공격자가 가지고 있거나 적어도 웹쉘 등과 같이 원격 조정이 가능하다고 추정할 수 있다”며 “또한 SQL Injection과 같은 웹 취약점을 통해 공격이 발생했다면 DB유출도 의심할 수 있다”고 경고했다.  

 
더불어 “해당 커뮤니티 회원들은 아이디와 비밀번호가 자신의 게임계정과 동일한 경우 더욱 위험하다. 반드시 게임 아이디와 비밀번호를 수정해야 한다”고 강조했다.
 
한편 게임과 관련해서는 많은 게임 커뮤니티가 존재한다. 기사에 언급하지 않았다고 해서 안전한 상황이 아니란 것을 알아야 한다. 공격자들은 게임 유저들이 많이 접속하는 게임 커뮤니티를 집중적으로 공략하고 있다. 이러한 게임 커뮤니티는 게임 유저들을 위해서라도 보안에 좀 더 신경을 써야 한다.
 
조 연구원은 “데일리게임 웹 사이트 전체의 보안성이 개선되지 않는다면 악성코드 삽입은 계속될 것이다. 한편 현재 삽입돼 있는 악성코드 파일만 삭제한다고 해서 근본적으로 해결될 문제가 아니다”라며 “현재 가장 크게 문제는 유저들이 웹페이지에 접속만해도 바로 악성코드 감염이 이루어지고 있다는 점”이라고 밝혔다.
 
또 그는 “데일리게임에서 취할 수 있는 대책은 공격자가 인위적으로 웹소스를 변경하지 못하도록 취약성을 제거한다면 이 문제는 매우 명확히 해결되겠지만 이렇게 될 가능성은 높지 않다”며 “최소한 방문자가 많은 사이트들에게는 법적으로 일정 수준의 보안강제 규제가 이루어져야 하고 선제적이고 긴급한 대응이 계속 이루어져야 한다”고 강조했다.
 
참고로 악성코드 유포지 확인은 빛스캔(scan.bitscan.co.kr)의 유포지 확인 서비스에서 할 수 있다.
 
조 연구원은 마지막으로 “이러한 대량 유포 시스템을 제거하기 위해서는 크게 2가지 부분에서 노력해야 한다”며 “하나는 악성코드 유포에 이용되는 많은 웹 서비스들의 문제점을 개선해야 하며 또 하나는 대규모 확산 이전에 선제적으로 차단하는 노력이 병행 되어야 한다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com