한국경제(www.hankyung.com) 사이트에 지난 주말 12월 1일, 2일간 네트워크 효과를 노린 지능형 악성코드가 유포됐다. 더 큰 문제는 한국경제 사이트 방문자만 대상으로 한 것이 아니라 한국경제에 관련된 20여 개 모든 사이트에서 공통적으로 악성코드가 유포됐다는 점이다.
 
한국경제 악성코드 유포를 최초 발견한 빛스캔(문일준 대표) 관계자는 “한국경제는 랭키닷컴 기준, 1주일에 800만명이 접속하고 페이집뷰는 6000만 건이다. 이번에 한국경제 메인사이트 뿐만 아니라 관련된 20여 개 사이트에서 악성코드가 유포돼 상당히 많은 수의 좀비 PC가 생성되었을 것”이라고 경고했다.
 
한국경제신문은 신문 외에 계열사를 통해 다양한 미디어 사업을 펼치고 있다. 증권과 경제전문 케이블TV방송인 한국경제TV, 인터넷 미디어인 한경닷컴, 경제 전문 주간 월간지를 발행하는 한경비즈니스, 경제 경영 도서를 출판하는 한경BP, 교육 관련 사업을 펼치는 에듀한경 등을 자회사로 두고 있다. 이밖에 한국경제신문 자체적으로 고교생 경제 신문인 생글생글을 발간하며 온라인 경영자 교육 사이트인 하이씨이오(hiceo)를 운영하고 있다. 그리고 국가 공인 경제학 시험인 TESAT을 주관하고 있다. 
   
빛스캔 관계자는 “한국경제와 관련된 모든 웹서비스는 img.hankyung.com/js/xxxxxxxx.js , www.hankyung.com/js/xxxxxxxx.js라는 공용 기능을 위한 Javascript가 공통적으로 소스코드에 들어 있다. 이 js 파일들은 한국경제에 관련된 모든 웹사이트에(약 20여개) 공통적으로 호출되고 있다”며 “이번주에 공격자들은 20여개 이상의 사이트를 해킹하지 않고도 악성코드 감염 숙주로 직접 이용하는 효율적인 매커니즘을 선보였다. 즉 모든 관련 사이트에서 이용하고 있는 공용 루틴내에 악성링크를 호출 하는 부분을 넣음으로써 단 하나의 서비스 소스에 대한 해킹만으로도 한국경제와 관련된 모든 사이트에서 공통적으로 호출하기 때문에 자체적으로 다단계유포망(MalwareNet)이 되는 것”이라고 설명했다.
 
또 “최종 악성파일들을 확인한 결과 xxxxxxxx.js에 들어있는 악성링크들 중에서는 최종 악성파일이 국내에 주로 사용되는 백신제품들에 탐지되지 않도록 구성된 악성코드가 모든 방문자PC를 좀비 PC로 만들고 있는 상황”이라며 “공격 효과를 높이고 탐지를 회피하기 위해 공격자들은 지능적으로 많은 노력을 기울이고 있음을 알 수 있으며 이에 반해 국내 대응은 여전히 그들의 공격을 따라가지 못하고 있다”고 밝혔다.
    
위 그림에서 보는 바와 같이 공격자들은 자신들만의 쿠키값이 사용자 컴퓨터에 있는지 확인한 후에 쿠키값이 설정되어 있다면 감염되었다고 보고 감염시키지 않는다. 이는 이미 감염시킨 사용자에게 다시 한 번 감염시키지 않고 불필요한 트래픽을 발생하지 않게끔 해 자신의 존재를 알아차릴 수 없게 하려는 지능적인 공격 전술이라는 것.
 
만약 쿠키값을 검사해 감염되지 않은 컴퓨터라면 쿠키이름을 ‘real2player’를 설정하고 값은 ‘Yes’, 한달 동안은 쿠키값을 유지할 수 있다. 악성코드를 삽입하는데 있어 <script> HTML 태그를 사용하였다. 즉 <script> 태그를 사용하면 다른 도메인에 있는 내용을(ex. 악성링크) 현재 페이지로 가져올 수 있다. 현재는 악성링크가 삭제되어 있지만 공격자가 마음만 먹으면 언제든지 공격에 활용될 수 있는 상황이다.
 
빛스캔 관계자는 “한국경제에 삽입된 악성링크에 것은 MS IE 취약점인 CVE-2012-1875와 Java 취약점인 CVE-2012-0507, CVE-2012-4681 세 개가 사용되어 공격 성공 비율을 높이는 경우가 대부분이다. 특히 Java 취약점의 경우 기존에 이용되던 취약점 뿐 아니라 지난 8월 말에 발견되었던 신규 취약점 까지 다양하게 활용되고 있으며, 이는 Java 취약성을 이용한 공격의 효과가 매우 높다고 판단 할 수 있는 근거가 된다”며 “향후에도 Java 취약점은 공격에 매우 활발하게 활용될 것으로 판단되며, 패치가 없는 Java zero-day 공격 또한 지속적으로 발생 할 것으로 예상된다”고 밝혔다. 
   
www.xportsnews.com/
www.bntnews.co.kr/
www.kbizweek.com/
www.sgsgi.com/
health.hankyung.com/
tesat.or.kr/
toto1.kr/
sgsgi.co.kr/
www.autotimes.co.kr/
xportsnews.hankyung.com/
xportsnews.com/
autotimes.co.kr/
autotimes.hankyung.com/
wstarnews.co.kr/
hkib.co.kr/
gametoc.co.kr/
sstv.tvreport.co.kr/
www.ahatv.co.kr/xxxxxxx
ahatv.co.kr/
sstv.hankyung.com/
www.hankyung.com
http://www.tesat.or.kr/flash/main/index.html
<한국경제 웹 사이트의 공용 모듈 호출하는 사이트 목록>
 
위 사이트들은 www.hankyung.com/js/xxxxxxxx.js 악성링크가 동시에 호출되는 사이트들이다. 총 20여 군데 사이트에 동시에 공용모듈로써 호출됐다.  
 
 
빛스캔 관계자는 “위의 자료를 보면 공격자들은 최대한 자신들의 공격을 노출시키지 않으며 짧게 1시간에서 3시간 가량만 유포하고 있는 것을 확인 할 수 있다. 또한 다단계유포망(MalwareNet)이므로 짧은 시간동안 악성코드를 유포해도 관련된 사이트가 많기 때문에 파급력은 매우 높다”며 “한국경제 웹 사이트 특성상 관련된 모든 웹사이트에서 자체적으로 다단계유포망(MalwareNet)이 된다. 29일 같은 경우 22시에 넣어서 다음날 아침까지 12 시간 동안 악성코드를 유포했다. 한국경제에 관련된 모든 사이트에서 악성코드를 유포했으니 악성코드에 감염된 PC가 상당수 발생했을 것이라 예상된다. 이것을 탐지하기는 매우 어려울 것으로 예상된다. 탐지 시점을 맞춰야만 탐지가 가능한 상황이라 할 수 있다”고 설명했다.

더불어 “한국경제 웹사이트를 통해 감염되는 악성코드들은 사용자 PC에 감염되는 시점에 백신의 실행여부 판별, 백신 서비스 중지를 기본으로 실행하여 향후 발견 및 탐지도 되지 않도록 구성이 되어 있다”며 “최종 악성코드의 경우 국내 주요 백신을 우회하도록 제작되어 탐지도 제대로 되지 않는 것으로 파악되고 있다”고 주의를 당부했다.  
 
빛스캔 관계자는 “지난 주말에 여러 차례 악성코드 유포 이슈가 관찰된 한국경제는 11월 25일 00시부터 06시까지 6시간 동안 시스템 작업 공지를 올렸다. 서버차원의 문제 수정이나 근본적인 원인 파악을 통해 문제를 해결했으면 한다”며 “공지에 나온대로 시스템 개선이 아닌 보안적인 문제를 해결 하는 것에 집중해 악성코드 감염 숙주로부터 벗어나도록 해야 할 것”이라고 조언했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com