국내 최대 지상파 공영방송 웹사이트인 KBS에서 악성코드를 유포한 정황이 포착되었다. 해당 악성코드는 10월 19일(금요일) 20시 56분경 최초 발견됐으며 이후 자정까지 계속해서 관찰되었다. KBS측의 조치가 필요한 상황이다.
 
KBS 웹사이트에서 악성코드 유포 사실을 최초 발견한 빛스캔 전상훈 기술이사는 “해당 악성코드 유포 사례에서 주목할 점은 뉴스 시작 시점인 밤 9시를 기점으로 악성코드 유포가 본격적으로 이루어졌다는 점이다”라며 “이와 같은 사실을 통해 상당수 많은 방문자들의 PC가 향후 DDoS 공격에 사용될 좀비 PC가 됐을 가능성이 높다”고 분석했다.   

 
전 이사는 “KBS는 DDoS를 방어하기 위해 LoadBlancing 웹서버를 여러 대 두었다. 그 중에 한 군데가(서버 A) 해킹을 당해서 악성코드를 유포한 정황이 발견되었다”며 “이에 접속할 때마다 접속하는 웹서버가 A였다가 B로 바뀌고 C로 바뀐다. 그래서 악성코드 유포가 발생하는 경우도 있고 (서버 A 접속시) 유포되지 않는 경우도 관찰 되고 있다”고 밝혔다.
 
그는 또 “KBS를 통해 유포된 악성코드는 게임계정 탈취와 원격 통제를 위한 RAT 성격을 지닌 악성코드가 유포 되었으며 지난 19일 이후 토요일까지도 계속 영향을 받은 것이 관찰됐다”며 “웹 서비스가 변경이 되었다는 의미는 서버의 모든 권한이 탈취 되었다는 것과 동일하다. 즉 웹서비스와 연결 되어 있는 데이터베이스의 정보 또한 손쉽게 탈취될 수 있다는 것을 의미한다”고 설명했다.
 
또 그는 “권한을 가지고 있는 상태에서 하지 못할 일은 아무 것도 없다. 농협의 사례에서 보듯이 내부로 유입된 악성코드들은 추가 공격을 내부망에 대해서 시도를 할 수 있으며 원격에서 직접 통제를 할 수 있는 상태가 된다”며 “민감한 시기에 국영방송국에 대한 해킹과 악성코드 유포는 공격자들의 또 다른 자신감을 의미하고 있다. 언제든 권한을 획득하고 기사 컨텐츠를 변경할 수 있으며 내부망을 교란 할 수 있는 상태에 도달해 있는 시점이라 단언 할 수 있다”고 주의를 당부했다.
 
빛스캔 측은 KBS 웹 서비스 방문자 PC를 공격하는 취약성은 최신 Java, IE, Flash 취약성을 복합적으로 공격하는 공격기법들이 이용되었으며 방문자 상당수에게 직접적인 영향을 미쳤을 것으로 보고 있다. 최소 60% 이상의 감염 비율이 예상되며 악성링크는 지난주 금요일 저녁부터 토요일까지 영향을 미친 것으로 조사됐다.
 
전 이사는 “KBS에 삽입되었던 악성링크는 space, tab 방식으로 난독화되어 삽입되었다. 해당 난독화 방법은 악의적인 코드가 외형적으로 보이지 않도록 제작되어 있다. 관리자들이 소스를 볼 수 있다고 해도 '단순히 공백이구나'라는 생각밖에 들지 않는다”며 “또한 웹소스상에서 자주 사용 되는 Function을 흉내 내어 작성 되었기 때문에 관리자가 판별하기에는 상당한 어려움이 있을 것으로 예상된다”고 밝혔다.
 
페이지 내에 포함된 악성링크는 오디션 정보를 제공하는 국내 웹 사이트이며 최종 다운로드 악성코드는 게임계정 탈취와 원격제어도구(RAT, Remote Administration tool) 기능을 가지고 있는 것으로 각각 확인 됐다.
 
악성코드 공격자들의 수준이 국내 사이트를 해킹하고 악성코드와 공격코드를 올려둔 후 한국의 국영 방송국 웹서비스를 해킹하고 악성링크를 넣어두는 상황까지 오고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com