모 정당 홈페이지가 뱅킹 관련 악성코드의 경유 및 유포지로 사용된 사실이 밝혀졌다.
 
정보보안 전문기업 윈스테크넷(대표 김대연 www.wins21.co.kr)은 지난 24일 오전 9시경, 스나이퍼 MDS(Malware Detecting System)에서 모 정당 홈페이지에서 뱅킹 관련 악성코드가 탐지 되었다고 25일 밝혔다.
 
윈스테크넷에 따르면 24일 오전, IFRAME 형태로 악성코드 유포지 주소가 모 정당 홈페이지에 삽입이 되어 최소 2시간에서 최대 5시간에 걸쳐 유포가 진행된 것으로 확인됐다고 설명했다.
 
윈스테크넷 침해사고대응센터의 분석결과 홈페이지에 삽입된 악성코드는 ‘RunIeHelpG.exe’이름의 악성코드로, 2013년 1월 21일로 중국에서 제작한 것으로 보이며, 이는 CVE-2012-1889 (XML 메모리 변조 공격)를 이용하여 취약한 사용자 PC에 악성코드를 다운로드하는 형태의 악의적 방법이라고 회사측은 설명했다.
 
이는 총 4개의 실행파일과 JS파일을 다운로드하며, 그 중 1개의 파일은 C&C서버에 FTP 접속을 시도하여 수집한 공인인증서를 전송하는 역할을 하고, 다른 실행파일은 은행의 피싱 악성코드로 ID/Password 및 보안카드를 가로채는 방식으로 진행된다는 게 회사측의 설명이다.
 
회사측은 악성코드의 소스에는 K은행 이외에 N은행도 포함되어 있어 잠재적으로 변종을 이용한 타은행 피싱이 가능할 것으로 보인다고 덧붙였다.
 
이번 악성코드 유포는 스나이퍼 제품군에 탑재된 Obfuscated Script Detection(CK VIP). A로 탐지가 가능하며, 2011년 특허 등록된 ‘멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법’(출원번호 제 10-2011-0016483)에 관한 기술을 이용해 보다 진보된 형태의 악성코드 자동 탐지가 이루어졌다고 회사측은 설명했다.
 
윈스테크넷 침해사고대응센터(WSEC) 손동식 상무는 “이번에 유포된 악성코드는 자주 발견되는 은행 피싱 악성코드로 정치적인 목적보다는 금전적 이득을 목적으로 하는 것으로 보인다”며, “사용자는 인터넷 익스플로어 및 Adobe Reader 등의 중요 어플리케이션 보안패치를 최신으로 유지하고, 유입된 악성코드 탐지를 위하여 백신 업데이트를 해야 한다” 고 권고했다.
 
한편, 윈스테크넷 침해사고대응센터(WSEC)는 사이버 침해사고의 근본원인인 취약점, 악성코드, 해킹, 웜, 스파이웨어, 비정상 트래픽 등을 분석하고 연구하는 역할을 하며, 정보보호 실무경험이 풍부한 전문인력과 다년간의 취약점 정보 분석 노하우를 바탕으로 지속적인 위협 분석 서비스를 제공한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com