2024-03-29 13:55 (금)
백신사이트도 악성코드 유포 경유지로 활용돼
상태바
백신사이트도 악성코드 유포 경유지로 활용돼
  • 길민권
  • 승인 2011.08.01 18:38
이 기사를 공유합니다

AVG 코리아 사이트 31일 악성코드 유포 경유지로…현재는 정상
국내에서 안티바이러스(PC용 백신) 시장은 개인에게는 거의 무료로 제공되고, 기업 시장에서만 상업적인 마케팅을 구사하고 있다.
 
전세계적으로도 이와 유사한 마케팅 전략을 사용하고 있는데, 대표적인 예가 AVG, avast!, AVIRA 등을 들 수 있다. 이 제품들은 무료 제품일지라도 훌륭한 성능을 제공하고 있어 개인에게부터 기업까지 많은 호평을 받고 있는 것도 사실이다.
 
반면, 최근에 AVG는 국내에 지사를 설립하고 프로그램의 한글화, 설명서 제공, 한글 웹사이트 개설 등 공격적인 마케팅을 진행하고 있지만, 회사 홈페이지에서 악성코드가 유포되는 사례가 올해만 두 번째나 발생해 눈살을 찌푸리게 하고 있다.
 
올해 최초 발생한 것은 4월 29일 경으로 파악되고 있으며, 당시에는 빠른 조치로 인해 일반인에게는 널리 알려지지 않고 조용히 넘어 갔다.
 
◇AVG Korea 사이트 31일 악성코드 경유지로, 현재는 정상=또 지난 7월 30일에 새롭게 유포되기 시작했던 http://goo.XX/4rjww 악성코드 유포 경유지 웹사이트 중에서 AVG의 한국 지사인 AVG Korea(www.avgkorea.com)가 포함된 것으로 밝혀졌다. 국내 아마추어 전문가가 파악한 시각은 7월 31일 오전 11시 경이며, 오후 9시 경까지도 악성코드에 대한 대처가 이뤄지지 않은 상태였다. 하지만 현재는 정상으로 돌아왔다.  
 
<악성코드 유포 경유지로 사용된 증거. 현재는 제거된 상태>
 
특히 주목할만한 점은 악성코드의 유포 방식에서 인코딩을 통한 코드 난독화(Code Obscation)뿐만 아니라 구글의 짧은 링크 서비스(Google URL Shortner)가 이용되었다는 점이다. 위에 언급한 URL은 http://lxnb.inXX/css/로 자동 변환되어 사용자에게 이용되고 그로 인해 감염이 진행된다. 참고로, 추가적인 링크를 통해 플래시의 취약점이 있는 경우 사용자가 감염되게 된다.
 
문제는 이러한 악성코드 유포경유지가 웹사이트에 포함되어 있었을 경우 해당 웹서버의 보안 상태에 대해서 다시 한번 검토해 봐야 한다는 점이다.
 
즉, 웹사이트의 특정 컨텐트에서 변조 또는 변조의 가능성이 있다는 의미는 SQL Injection, RFI(Remote File Inclusion) 등의 웹 취약점을 통해 웹서버를 장악하거나, DB를 변조하거나 웹쉘을 설치해 공격자가 원하는 공격을 모두 진두지휘할 수 있는 상황이라는 것이다.
 
다시 말하면, AVG Korea 웹사이트에 포함되어 있는 중요한 개인정보가 이미 누출되거나 아니면 누출될 가능성이 매우 높다고 추정할 수 있다. 이 정보가 파일에 있든 데이터베이스에 저장되어 있든 마찬가지다. 결국 피해는 이용자들이 입게되는 것이다.
 
AVG 백신이 아무리 성능이 좋다 하더라도 백신을 다운로드 하기 위해 홈페이지를 방문했다가 백신과 함께 악성코드도 같이 다운된 상황이 발생한 것이다.
 
덧붙이자면 실제 앞에서 언급한 URL(http://goo.XX/4rjww)에 감염된 사이트는 국내에 적어도 10 여 사이트가 넘는다. 이러한 현상은 국내 사이트들의 총체적 문제다.
 
AVG코리아 사이트는 현재는 정상적인 상태지만 또 다시 악성코드가 삽입될 우려가 있음을 알고 근본적인 대책을 세워야 할 것이다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★