지난 크리스마스 이브 12월 24일 파일 공유사이트 3곳에서 악성코드 감염시도가 있었는데 이곳과 연결된 악성코드 공격링크로 이용된 사이트가 바로 흥국증권 웹사이트로 밝혀졌다. 이 악성코드는 사용자 PC를 좀비 PC화 하는 공격코드로 드러났다.  
 
이 사실을 최초 발견하고 데일리시큐에 제보한 빛스캔(대표 문일준)은 “국내에서 사용자가 많은 파일공유 사이트 세 곳에서 모든 방문자를 대상으로 악성코드 감염을 시키기 위해 공격자에 의해 소스코드가 일부 변경 되는 것이 발견 되었고 그 결과 파일 공유 사이트 세 곳을 방문한 모든 사용자에게 악성코드 감염 시도가 발생했다. 최소한 60%의 방문자들이 악성코드 감염이 되었을 것으로 예상된다”며 “세 곳의 파일공유 사이트에 추가된 악성링크로 흥국증권 웹서비스가 직접 이용 된 정황이 발견됐다. 이 악성링크는 방문자에 대한 자동 감염을 위해 자동으로 실행 되어 방문자 PC를 좀비 PC로 만드는 악성링크다”라고 밝혔다. 

 
흥국증권 사이트는 지난 12월 24일부터 악성링크가 존재했으며 이 링크는 공격링크로 이용이 된 것이라 그 위험성은 더 크다고 전문가들은 말한다.

 
빛스캔 측은 “공격자들은 이미 흥국증권의 웹서비스의 권한을 가진 상태에서 특정 디렉토리에 공격코드가 올려진 상태에서 악성코드를 중계한 상태라 할 수 있다”며 “최종 설치 파일은 12월 24일 발견 당시 시점에는 국내 주요 백신들은 탐지하지 못한 상태이며 12월 26일에도 한 곳 정도만 탐지하는 것으로 나타났다. 또한 12월 26일 새벽을 기해 최종 악성 파일은 변경 되었으며 해당 파일은 모두 국내 주요백신을 우회하고 있는 상황이었다”고 전했다.

 
빛스캔에서 분석한 공격의 개요를 보면 다음과 같다.
최종 악성파일이 올려진 사이트 -> 흥국증권 웹서버에 올려진 공격코드 -> 파일 공유 사이트 세곳의 웹서비스 소스를 수정해 흥국증권에 올려진 공격코드가 실행 되도록 변경.
 
파일 공유 사이트를 방문하는 모든 사용자들에게 흥국증권에 올려진 공격코드가 실행 되어 최종 악성파일을 사용자 PC에 설치하여 좀비 PC로 만드는 구조로 볼 수 있다.
 
최종 설치된 악성코드는 사용자 PC에 ahnurl.sys , gdyoyutgsew.sys 드라이버 파일을 추가로 다운로드 받아 시스템에 등록하고 서비스를 실행하며 다양한 시스템 설정들을 변경하는 형태를 보이고 있다. 원격에서 완벽하게 통제될 수 있는 좀비 PC로 이용됨을 알 수 있다. 웹서비스를 방문하는 즉시 사용자의 눈에는 보이지 않게 많은 링크들이 실행 되며, 그 중에 흥국증권에 올려진 공격코드들은 자바 취약성 5종류와 올 7월에 발표된 MS XML 취약성을 이용하고 있다.
 
모든 방문자의 PC와 브라우저 버전에 맞추어서 공격이 자동으로 진행되며 PC상의 백신과 같은 보안도구들의 탐지는 우회한 상태에서 권한획득을 한다. 이후 최종으로 아래와 같은 최종 악성파일을 아무런 제한 없이 사용자 PC에 설치하고 공격자는 자유자재로 활용 할 수 있는 상태가 된다.
 
12.24일 ~ 25일까지 유포된 최종 악성코드 http://ogajy.com/xxx/lb.exe
12.26일 변경된 최종 악성코드 http://uhemi.com/xxxx/lbi.exe
 
빛스캔 관계자는 “2012년 하반기에 들어서 사용자 PC에서 금융정보를 탈취하는 유형의 악성코드들이 급증하고 있다. 또 금융정보를 사용자 PC에서 직접 빼내어가는 형태 이외에도 직접 해킹을 통해 악성코드 유포에 이용되거나 중계지로 이용 되는 유형도 계속 증가를 하고 있으며 그 악성코드 중계의 역할에 금융기관의 웹서비스가 직접 이용 되었다는 것은 대단히 충격적인 사건”이라고 주의를 당부했다.  
 
또 “흥국증권 사건과 같은 증권사 메인 웹서비스가 직접 악성코드 중계에 이용된 사례는 대단히 심각한 우려를 할 수 밖에 없다. 가장 보안이 철저해야 할 금융기관의 웹서비스가 악성코드 유포를 하여도 심각한 사안인데 지금의 경우는 악성코드 중계에 직접 이용이 된 사안”이라며 “외부에 노출된 웹서비스들은 정보를 제공하는 창구 역할도 하지만 공격자들에게는 내부로 침입 할 수 있는 거의 유일한 통로로도 직접 이용이 되고 있다. 즉 외부에 노출된 웹서버를 공격한다는 것은 웹서버와 연결된 데이터베이스 서버에 대한 권한을 가지는 것과도 동일한 상황이라 할 수 있다. 모든 것은 공격자의 선택에 달려 있다”고 우려를 표했다.  
 
현재 빛스캔은 국내 120만개의 웹서비스와 해외 10만 여 개의 웹서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 정보를 제공 하고 있다. 문의는 info@bitscan.co.kr로 할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com