SK텔레콤에서 캠페인을 홍보하는데 사용되는 웹서비스가 악성코드 중계에 이용된 정황이 12월 29일 오후 10시 경 빛스캔(대표 문일준) 악성코드 탐지 시스템에 포착되었다. 해당 사이트는 사회공헌 활동과 이벤트를 진행하기 위해 만들어진 사이트로 페이스북의 ‘좋아요’만 63만여 회에 달하는 대형 사이트다.  
 
해당 사이트는 sktcampaign.com이며 연말을 기점으로 하여 2회 이상 악성코드 유포에 직접 이용된 정황이 발견되고 있다. 더욱 심각한 사안은 홈페이지의 소스 변경도 되었지만 다른 웹서비스들에 악성코드 감염을 중계하는 중계지로 활용된 것이라 할 수 있다. 빛스캔 PCDS상 유포정황을 살펴보면 파일 공유와 스키, 보드 관련 사이트내에 추가되어 악성코드를 직접 중계한 것이 탐지 되었다. 또한 SKT 캠페인 사이트와 연계된 다수의 언론사 및 방송사들도 직접 영향을 받았을 것으로 예상된다. 구글의 탐지 히스토리에는 국내 유력 언론사들도 포함이 되어 있다.
 
빛스캔 관계자는 “거대 규모를 자랑하는 국내 통신사 중 한 곳이 악성코드 감염에 직접 이용되고 다른 사이트들에도 추가되어 악성코드 감염을 중계한 정황은 심각성을 넘어 국내의 인터넷 안정성에 대해 심각한 우려를 하게끔 하고 있다”며 “공격자들은 이미 웹 서비스의 소스를 자유자재로 조정할 정도로 권한을 이미 가지고 있는 상태에서 현대캐피탈과 같은 내부 침입 사례는 보이지만 않을 뿐, 현재 상태에서도 충분히 가능한 일이라 할 수 있다”고 주의를 당부했다.

 
전체 악성링크 중계 경로는 sktcampaign.com/m/m.html, sktcampaign.com/js/ad.html이며 12.31 일 오전까지 유지되었다. 방문자에게 악성코드를 직접 유포한 곳은 파일공유 사이트들이며 sktcampaign.com 서비스는 악성코드 중계지로 활용이 된 상황이다. 또한 직접 유포에도 사용이 되었다.
 
sktcampaign.com/js/ad.html 파일 안에는 다른 사이트로 중계하는 악성링크와 중국 통계사이트 링크가 들어 있으며 국내 탐지를 회피하기 위해 국내 사이트(co.kr)를 악용하고 있다. 국내 사이트를 사용하면 이 링크가 정상링크인지 악성링크인지 판단하기가 매우 어렵기 때문에 공격자들은 탐지를 회피하기 위한 목적으로 직접 악성링크를 악용하고 있는 것.
 
통계 링크는 웹 사이트 방문자와 악성코드에 감염되어 좀비PC를 측정할 수 있는 좋은 도구가 된다. 웹사이트 방문자에 비해 감염된 좀비PC 수치가 낮다면 백신에 탐지되지 않는 또 다른 최종 악성코드로 교체하여 감염 수치를 높인다고 한다.

 
사용자 PC 공격에 이용된 취약성은 Java 취약성 5종류와 MS XML 취약성이 이용되었으며 사용자의 브라우저 버전과 취약한 Application 버전에 따라 실행하는 지능적인 구조로 구성되어 있어 방문자의 60%는 악성코드에 감염이 되는 상황이다.

 취약성 공격 이후 설치되는 악성코드는 국내 백신만을 주요 대상으로 우회하고 있어서, 국내 사용자가 악성코드 감염 여부를 인식하기에는 매우 어려운 상태라 할 수 있다. 지능적으로 탐지를 회피하기 위해 국내 사이트를 공격하며 권한이 획득된 국내 사이트를 이용하여 또 다른 국내 사이트를 공격 하는데 이용 함으로써 신뢰관계를 이용함을 확인 할 수 있다. 

 
지난 12월 29일 Sktcampaign.com/js/ad.html을 통해 유포된 최종 악성코드는 국내 사이트인 obms.kaia.or.kr/xxx/m122x.exe 파일이며 국내 주력 백신을 여전히 우회한 상태를 보이고 있다. 또한 12월 30일 또 다른 악성링크로 이용된 sktcampaign.com/m/m.html 악성링크의 경우 최종 설치되는 악성코드는 img.fjco.info/y~~.exe 파일이며 해당 파일은 현재까지 전 세계에서 가장 악성코드 샘플이 많은 VirusTotal에도 보고된 바 없는 악성코드 임을 확인 할 수 있다.

 
빛스캔 분석에 따르면, 전세계에서 가장 많은 샘플을 보유하고 전 세계 백신 46종에서의 탐지 여부를 체크하고 있는 VirusTotal 사이트에 탐지 여부를 확인하면 국내에서 주로 사용하는 백신 3종만을 우회한 것을 볼 수 있다. 이렇게 국내 백신에 탐지되지 않는 악성코드가 웹사이트에 방문하기만 하면 방문자들에게 유포된다. 최종 사용자 PC에 감염된 악성파일은 게임 관련 개인 정보 탈취 기능을 기본으로 가지고 있으며 추가 악성코드 다운로드 기능이 있어서 금융 정보 탈취 및 DDoS 공격 등 다양한 목적으로 활용될 수도 있다.
 
악성코드는 일반적인 사용자들의 생각처럼 Exe 파일이 내려올 때나 ActiveX를 설치 할 때처럼 “설치 하시겠습니까? “, “다운로드 하시겠습니까?”와 같은 친절한 안내 문구가 전혀 없이 자동으로 설치가 된다.
 
단지 웹사이트를 방문만 하고 브라우저 상에서 URL을 입력하여 페이지가 뜨는 순간 내부에서는 공격코드가 자동으로 실행이 된다. 이 공격코드는 사용자 PC의 취약성을 직접 공격하며, 권한을 장악하고 좀비 PC로 만드는 것이다. 국내의 현실은 이처럼 ActiveX와 같은 불편함을 떠나서 심각한 악성코드 감염 상황에 처해 있는 것이다.
 
빛스캔 측은 “Skt 캠페인 사이트는 직접 악성코드 유포도 발생된 상황이라 Drive by download와 같은 방문 시에 악성코드가 설치되는 유형을 감시하고 있는 구글의 스탑배드웨어에도 탐지된 정황이 확인되었다”며 “구글의 스톱배드웨어는 최근 90일 동안 의심스러운 활동이 있을 때 붉은색 창을 띄워준다”고 설명했다.  
 
또 “구글의 탐지방식은 악성링크를 탐지하는 방식이 아니며 크롬 브라우저에서 접근 시에 붉은 화면으로 나타나는 것은 Drive by download라고 하는 방문 시 다운로드 되는 이벤트들이 발생될 때 분석과 기록을 하며 악성코드로 의심이 될 경우 차단 화면이 나오게 된다”며 “즉 악성코드 감염시점에는 대응이나 탐지가 되지 않으며, 이전에 악성코드를 감염시킨 히스토리가 있을 경우에만 기록을 기반으로 하여 차단 화면으로 전환하는 상황이다. SKT 캠페인 사이트의 구글 스탑배드웨어 등록은 이미 악성코드가 유포되고 있으며 기록이 되었다는 의미라고 봐야 할 것”이라고 덧붙였다.
 
구글의 경우 수십 만대 이상의 검색 서버를 운영하고 있으나 억 단위 이상의 홈페이지들을 방문하기 위해서는 주기적인 방문이 필요하며 그 방문 주기는 충분한 간격을 두고 있다.  예상하기로는 1~3일 정도는 차이가 있는 것으로 판단 된다. 구글의 경우에도 홈페이지 수정 1일 이후 비정상적인 파일이 다운로드 되고 있다는 Drive by Download 이벤트를 감지하고 기록을 기반으로 하여 자동으로 경고사이트에 SKT 캠페인 사이트가 등록 된 것을 볼 수 있다.

 
상세 내용을 살펴보면 동의 없는 다운로드 및 설치가 발견되었다는 것과 방문 일시가 12월 30일에 확인 하였음을 기록하고 있다. 빛스캔에서 최초 탐지된 일시는 12월 29일이다.
 
빛스캔 관계자는 “현대캐피탈의 사례에서 보듯 비교적 비중이 낮은 사이트들은 보안 점검과 관리체계에서도 우선순위가 낮을 수 밖에 없다. 온라인 상에 공개된 모든 웹서비스들은 동일한 공격을 받을 수 밖에 없음에도 불구하고 방문자가 적거나 제한적인 이용만 하는 사이트의 경우에는 중점적인 관리대상에서는 항상 제외 될 수 밖에 없다”며 “그 이유는 점검에 들어가는 비용과 인력을 감당할 수 없기 때문일 것이다. 그러나 이번 사안의 경우 SK텔레콤에서 운영중인 캠페인 관련된 사이트이며 방문자가 극도로 많은 사이트라는 측면에서 전체적인 문제를 지적 하지 않을 수 밖에 없다. 보안 진단의 중요도가 매우 높을 수 밖에 없는 대외 캠페인 전용 도메인에서의 악성코드 유포와 악성코드 감염 중계는 그 자체로도 대단히 위험한 상황”이라고 지적했다.
 
추가적으로 “단지 공격자가 추가한 소스코드 일부와 다수의 공격코드들을 제거만 한다고 해서 대응은 절대로 끝난 것이 아니다”라며 “근본원인을 확인하고 제거하지 못한다면 상시적으로 공격이 발생 될 수 밖에 없으며 모든 방문자들에게 악성코드를 유포하는 일은 일상이 될 것”이라고 경고했다.  
 
한편 “SK텔레콤 캠페인 서버의 해킹과 악성코드 중계지로의 활용은 이미 내부망에 대한 침입과 정보 탈취들은 현대캐피탈의 사례에서 보듯 불가능한 상황은 아니다”라며 “지금의 상황은 대기업과 금융기관을 가리지 않고 악성코드 유포에 이용되거나 악성코드를 중계하는 심각한 상황이며 집중적인 문제 해결 노력이 필요한 시점”이라고 강조했다.
 
빛스캔에서는 국내 120만개, 해외 10만여 개의 웹서비스에 대해 상시적인 악성코드 유포를 모니터링하고 있으며 사전위협 탐지 체계를 갖추고 매주 수요일 한 주간의 공격과 위협, 공격코드의 구성과 악성파일의 유형, 자주 이용되는 취약성에 대해서 보고서 형태로 정보를 제공하고 있다. 또한 국내기업으로는 최초로 해외 정보공유 사이트인 exploit-db 사이트에 KAIST 정보보호대학원과 공동으로 올 하반기에만 4종의 취약성 분석 문서를 공개함으로써 세계적인 역량을 인정받고 있다. 문의는 info@bitscan.co.kr로 하면 된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com