12월25일 크리스마스 연휴 동안 모 결혼정보회사 홈페이지가 악성코드 유포지로 악용된 것이 악성코드 유포지 탐지 전문기업 빛스캔(대표 문일준) 조사에 의해 확인됐다. 악성코드 유포지로 활용됐다는 것은 1차적으로 해킹을 당했다는 것을 의미하며 악성코드 유포는 이후 단계라고 전문가들은 말한다.   
 
이번 악성코드 유포에 대한 해당 업체의 재발방지 대책도 의심스러운 부분이다. 근본적인 원인제거가 되어야 함에도 불구하고 단순한 주석처리로 해결을 한 것을 확인할 수 있다. “근본 원인이 제거가 되지 않는다면 다시 재발할 수 있기 때문에 근본적 해결책이 필요하다”고 빛스캔은 조언하고 있다.

 

 
빛스캔 연구자료에 따르면, 해당 악성파일명은 IEXPLORE.EXE이며 모든 방문자의 PC와 브라우저 버전에 맞춰서 공격이 자동으로 진행되며, PC상의 백신과 같은 보안도구들의 탐지는 우회한 상태에서 권한획득을 한다. 이후 최종 악성파일을 아무런 제한 없이 사용자 PC에 설치하고 공격자는 자유자재로 활용 할 수 있는 상태가 되는 것이다.
 
최종 설치된 악성코드는 사용자 PC에 여러 시스템 파일을 추가로 다운로드 받아 시스템에 등록하고 서비스를 실행하며 다양한 시스템 설정들을 변경하는 형태를 보이고 있다. 웹 서비스를 방문하는 즉시 사용자의 눈에는 보이지 않게 많은 링크들이 실행 되며, drive-by-download로 실행되어 해당 사이트에가입하지 않고 방문만 해도 감염될 확률이 60%이상인 상황이다. 해당 악성코드는 자바 취약성 및 IE 취약성을 가진 6종으로 이루어져 있다고 빛스캔은 밝히고 있다.  
 
빛스캔 관계자는 “웹사이트를 통해 감염되는 악성코드들은 사용자 PC에 감염되는 시점에 백신의 실행여부를 판별하고 백신을 중지시키며 발견 및 탐지 되지 않도록 구성되어 있다”며 “해당업체의 근본적인 문제 해결 의지와 실행이 필요하다”고 강조했다.  
 
현재 빛스캔은 국내 120만개의 웹서비스와 해외 10만 여 개의 웹서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 문의는 info@bitscan.co.kr로 하면 된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com