국내 대표 온라인 서점 Y사 홈페이지에서 지난 12월 29일 13시, 22시 그리고 12월 30일 18시경, 탐지를 우회하기 위해서 세 번에 걸쳐서 악성링크를 변경하면서 악성링크를 유포한 정황이 탐지됐다. 29일 13시경, 22시경에는 국내·외 백신들이 탐지했지만, 30일 18시경에 나온 악성코드는 국내·외에 보고되지 않은 악성파일로 VT(Virus Total)결과가 나타나 이용자들의 악성코드 감염이 우려되는 상황이다.  
 
이 사실을 최초 발견하고 데일리시큐에 제보한 빛스캔(대표 문일준)측은 “특징적인 면으로는 탐지의 우회를 목적으로 웹사이트 통계를 위해 이용 되고 있는 google Analytics 서비스 도메인명과 유사한 도메인명으로 악성링크를 사용했다”며 “일반적인 웹 서비스들에서 다수 사용하고 있는 통계서비스여서 서비스 관리자들도 인지하기에는 어려움이 있었을 것이다. 또한 단 하루에만 3회에 걸쳐 최종 악성파일과 악성링크를 변경 하는 형태를 보였다. 이것은 감염 여부의 관찰 및 탐지 및 대응을 공격자들은 직접 관찰하고 있다는 것을 의미한다”고 경고했다.
 
해당 업체는 전체 출판 유통시장의 약 37%를 점유하고 있고, 회원 수는 600만 명을 넘어선 대표적 온라인 서점 서비스 업체이다.
 
인터넷 서점은 모든 서비스가 온라인으로 이루어 지고 있어서 공격자가 자유자재로 웹 소스를 수정하는 상황은 심각성이 매우 높은 상황이다. 권한을 획득한 상황에서 내부로 침입해 사용자 데이터베이스를 탈취하는 것은 공격자가 마음먹기 달린 사안이다.
 
공격자들은 해당 사이트에서 사용되는 공용 js 파일내에 악성링크를 추가함으로써 사이트내의 모든 웹서비스에서 동시에 악성코드 유포가 되도록 만들어 심각한 상황이라 할 수 있다.
 
빛스캔 관계자는 “현재 인터넷서점뿐만 아니라 국내 웹 서비스는 탐지를 회피하고 추적을 어렵게 하려는 공격자들에 의해 활용 비율이 계속 증가되고 있다. 국내 웹 서비스들은 공격자의 손아귀에서 놀아나고 있는 형태로 매우 취약하다는 것을 의미한다”며 “웹 서비스 소스 변경을 위해서는 서버 권한을 가지고 있어야만 가능하며, 그 권한을 가지고 공격자는 웹 소스에 코드 한 줄 변경하여 모든 방문자들에게 악성코드 감염을 시도하는 비용 대비 효과를 누리고 있으며, 공격자의 맘에 따라 악성링크 안에 새로운 기능을 하는 형태의 악성파일을 추가할 수 도 있기 때문에 충분히 위험한 상황이라 할 수 있다”고 주의를 당부했다.  
 
현재 해당 사이트의 관제 서비스를 담당하는 업체에 확인결과 담당자는 “당시 악성코드 조치를 했지만 보다 근본적인 대책을 마련해야 할 상황”이라며 “향후 지속적으로 모니터링을 통해 악성코드에 대응해 나갈 것”이라고 밝혔다.
 
현재 빛스캔은 국내 120만개의 웹서비스와 해외 10만 여 개의 웹서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 문의는 info@bitscan.co.kr로 하면 된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com