데일리게임 또다시 해킹…1년간 악성코드 유포!

던파 게임커뮤니티, 계정탈취용 악성코드…접속만 해도 감염 위험!

게임계정 탈취를 위한 악성코드 공격이 계속 기승을 부리고 있는 가운데, 게임 유저들이 자주 방문하는 게임커뮤니티가 악성코드 유포의 주요 타깃이 되고 있어 주의가 당부되고 있다.

본지가 8월 7일 ‘게임커뮤니티 데일리게임… 악성코드 유포 위험!’ 기사에서 해킹 공격자에 의해 공격을 받았던 데일리게임이 또다시 공격을 받아 11월 3일 18시경부터 악성코드를 유포하고 있는 것으로 파악됐다.

데일리게임은 창간한지 4년차의 중소규모 게임 커뮤니티로 이기 때문에 특히 게임유저들이 많이 접속하고 있기 때문에 게임 계정 탈취를 노리는 공격자의 주요 타깃이 되고 있다. 따라서 이 웹사이트에서는 지난 2011년 11월 20일부터 약 1년 동안 끊임없이 게임계정탈취용 악성코드를 유포하고 있다.

<11월 3일(토요일) 18시경, dailygame 에서 악성코드 유포 정황 포착>

만약 이 사이트에 접속한 유저의 PC가 최신 보안패치가 제대로 되어 있지 않을 경우 악성코드에 감염될 수 있고 이를 통해 공격자는 유저의 게임 계정을 탈취할 수 있다. 특히 해당 사이트에 방문만 해도 이용자 모르게 자동으로 악성코드에 감염될 수 있어 해당 사이트 접속을 하지 않는 것이 안전하다고 보안 전문가들은 이야기한다.

<데일리게임 악성링크 삽입 유형. URL Encoding으로 난독화>

데일리게임 측은 해당사이트에서 악성코드가 유포되고 있다는 것을 인지하고 지난 5월 14일과 6월 24일에 악성코드를 제거했다고 밝혔지만, 소스상에서 악성링크를 제거하는 것으로 문제가 해결되지 않는다고 보안전문가들은 이야기한다. 근본적인 취약성이 해결되지 않았기 때문에 공격자는 언제든지 또 다시 악성코드를 유포할 수 있기 때문. 현재는 공격자들은 월요일에 관리자들이 출근해 악성링크를 삭제한다는 것을 인지하고 악성코드를 유포하고 있지 않지만 필요에 따라서 언제든지 악성링크를 삽입할 수 있는 상황이다.

이렇게 악성링크가 삽입되었다는 건 이미 서버에 대한 권한을 공격자가 가지고 있거나 적어도 웹쉘 등을 통해 원격조정이 가능하다고 추정할 수 있다고 전문가들은 이야기한다. 게다가 근 1년 동안 악성코드를 유포한 정황을 본다면 이미 데일리게임의 서버 권한은 공격자들 손아귀에 있다고 봐도 무방하다고 전문가들은 덧붙인다. 이 때문에 비밀번호를 새로 바꿔야 하며 노출된 아이디와 비밀번호를 다른 사이트에서 유사하게 이용하고 있다면 해당 사이트들도 모두 비밀번호를 바꿀 것을 전문가들은 권고한다.

데일리게임뿐 아니라 현재 국내에는 운영되고 있는 게임과 관련한 게임 커뮤니티 역시 악성공격자들의 타깃이 되고 있어 이용자들은 각별한 주의가 요구되고 있다.

데일리게임 웹 사이트의 전체의 보안성이 개선되지 않는다면 악성링크 삽입은 계속될 것으로 보인다. 따라서 해당 사이트는 인터넷 보안의 모든 부분에서 위험을 줄이기 위해 노력을 강화해야 할 필요성이 제기되고 있다. 좀 더 근본적인 웹 사이트 보안점검이 필요하다는 것. 또한 데일리게임 등 방문자가 많은 사이트들에게는 일정 수준의 법적 규제조치와 함께 선제적이고 긴급한 대응이 상시적으로 이루어져야 할 것이라는 것인 보안전문가들의 의견이다.

데일리게임에 삽입된 악성링크는 각종 취약성들을 복합적으로 이용해 공격 성공률을 높이고 있다. Java 관련된 취약점인 CVE-2012-4681, CVE-2012-1723, CVE-2012-0507, CVE-2011-3544, MS관련 취약점인 CVE-2012-1889 이 사용된 것으로 파악되고 있다. 특히 Java 취약점의 경우 기존에 이용되던 취약점뿐 아니라 지난 8월 말에 발견되었던 신규 취약점까지 다양하게 활용되고 있으며, 이는 Java 취약성을 이용한 공격의 효과가 매우 높다고 판단할 수 있는 근거가 되고 있다.

현재 이에 대한 패치는 대부분 발표된 상황이다. 그러나 대다수의 사용자PC에는 관련 애플리케이션이나 윈도우 업데이트 등이 되지 않은 경우가 많아 위험에 노출되어 있다. 특히 자바나 플래시와 같은 설치기반 애플리케이션에 대한 보안 패치는 수시로 설치해야 한다는 점 때문에 귀찮다는 이유로 설치를 꺼리는 경우가 많아 피해는 좀처럼 줄지 않고 있는 형국이다. 보안 업계 관계자들은 공격에 주로 이용되는 자바, 플래시, 윈도우 최신 업데이트는 반드시 해야 한다고 권고하고 있다.

최종 사용자 PC에 설치되는 악성코드는 국내 다수의 게임 계정을 해킹하는 용도와 금융권 사이트를 피싱하는데 사용되고 있다. 설치된 악성코드는 가장 먼저 백신을 커널단에서 차단한다. 즉 백신의 기능을 무용화 하는 것. 또한 문화상품권과 게임 머니 사이트에 대한 계정도 탈취 기능도 추가 된 것으로 확인되고 있다. 이런 모든 기능은 BHO(Browser Helper Object) 관련된 공격에 연관되어 있다.

또한 신용정보 조회 사이트도 모니터링 되고 있어 자신의 개인 정보가 노출될 수도 있다. 더불어 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 아이템매니아나 아이템베이와 같은 게임 아이템 거래 사이트까지 노리고 있는 것으로 확인돼 돈이 되는 곳은 모두가 공격 대상이 되어 있다. 또 금융권 사이트와 똑 같은 가짜 사이트를 만들어 놓고 방문자들에게 금융정보를 입력하게 유도해 금융 정보를 빼내가는 사례도 끊이지 않고 있다.

현재 웹페이지에 접속하는 것만으로도(Drive by download) 좀비 PC로 변할 수 있습다. 관리자들이 퇴근한 시점인 금요일 저녁부터 시작되는 공격이며 매 주말마다 반복되고 있다.

이러한 악성코드 유포지는 빛스캔(https://scan.bitscan.co.kr)의 유포지 확인 서비스에서 확인해 볼 수 있다.