2024-03-29 16:40 (금)
티토크, 145개 언론사-커뮤니티 악성코드 유포 도구로 전락!
상태바
티토크, 145개 언론사-커뮤니티 악성코드 유포 도구로 전락!
  • 길민권
  • 승인 2013.01.31 04:22
이 기사를 공유합니다

티토크 웹소스에 악성코드 유포할 수 있는 경유지 URL 삽입돼!
빛스캔, 약 145개 언론사와 커뮤니티에 대규모 유포 한 정황 포착
대표적인 소셜댓글 서비스 픽플 커뮤니케이션즈의 '티토크'(Ttalk)가 악성코드 유포 도구로 악용되고 있어 심각한 악성코드 감염 확산이 이루어지고 있는 상황이다.

지난 26일 새벽 티토크 웹소스에 악성코드를 유포할 수 있는 경유지 URL이 삽입되어 약 145개 언론사와 커뮤니티 웹 서비스에 대규모 유포를 한 정황이 빛스캔(대표 문일준) PCDS(Pre-Crime Detect System)에 포착돼 충격을 주고 있다. 특히 주말에 인터넷 쇼핑이나 언론사를 방문한 이용자들은 최근 발생한 신규 제로데이 취약점을 활용하는 공격으로 인해 악성코드 감염확률이 매우 높았을 것으로 추정된다.
 
빛스캔 관계자는 “티토크는 국내 유명 기업뿐만 아니라 대부분의 언론사에 소셜댓글 서비스를 제공하고 있어 이러한 넓은 활용 덕에 악성코드 유포의 표적이 되고 있다”며 “참고로 1월 19~21일 사이에는 공통으로 사용되는 광고 서버의 링크를 유포지로 활용해 국내 커뮤니티 등 수십 여 곳에 악성코드를 유포하는 행위가 있었다”고 밝혔다.
 
어느 정도 감염이 이루어졌을까. 빛스캔에 따르면, 감염율을 60%로 가정하고 단순하게 웹사이트에 일 방문자수를 확인하여 계산해 보면 다음과 같다. 145개사의 일 평균 방문자 수를 최소 10만명으로 잡는 다면 접속하는 사용자 PC수는 1,450만대로 추정할 수 있다. 이중 약 60%가 감염이 된다면 결국 870만대 가량이 좀비 PC가 되는 것이다.  
 
빛스캔 조사에 따르면, 감염률을 60%로 가정한 것은 기존의 취약점을 기반으로 수집된 로그파일로 계산된 값이며, 현재 티토크를 통해 공격으로 활용된 취약점은 최근 발견된 취약점인 자바(CVE-2013-0422)와 IE(CVE-2012-4792)가 함께 사용되었기 때문에 실제로는 더 높은 감염율이 예상된다는 것.
 
관계자는 “2013년도 악성코드의 공격 동향을 분석해 본 결과, 악성코드 유포 또는 경유하는 링크수는 줄고 있는데 반해 많은 사이트들이 공통적으로 사용하는 서비스를 대상으로 하는 공격이 집중되고 있는 상황”이라며 “티토크가 가장 대표적인 예라 할 수 있다. 또한 이미 자바와 IE에 대한 패치가 나와 있지만 사용자의 정보 부족 또는 무관심으로 인해 여전히 패치되지 않은 PC가 많고 이를 공격자가 효과적으로 활용하고 있다는 반증이기도 하다”고 설명했다. 
 
 
동아닷컴 이외에도 전자신문, 세계일보, 아이뉴스24, 코리아타임즈, 데일리게임 등 유명 언론사 및 커뮤니티 사이트 등 확인된 사이트만 145개에 달한다.
 
빛스캔 측은 주말 동안 악성링크로 활용되었던 ttalk.pickple.com/xx/xxxxxx.js 사이트 내에 악성링크 1줄 삽입되어 방문자수가 많은 국내 웹 서비스에 심각한 피해를 초래 하게 된 내용을 다음과 같이 설명하고 있다.
 


 
또한 최종적으로 다운로드되는 악성 파일을 분석한 결과 다음과 같다.
목적은 주로 게임계정 탈취 및  다운로더다.
 
1. %system%ws2help.dll 생성
2. IE를 후킹 후 게임계정 탈취
3. aprilmxxx.com/xxx/x.gif 에서 추가 악성코드 다운로드 요청 
4. v3lite.exe로 변경 후 %temp%에 생성
 
위에 언급된 국내 언론사에 소셜 댓글 플랫폼으로 공통적으로 사용되었던 링크는 ttalk.pickple.com/xx/xxxxx.js이며 대표적인 언론사는 아래와 같다.
 
구글에서 제공하는 스톱배드웨어(StopBadWare) 사이트에서도 공격 행태가 동일하게 포착되고 있으며 아래 화면은 전자신문에 대한 정보를 조회한 결과로 알 수 있다.
 
 
또 “공격자는 국내 주요 웹 사이트에 공통적으로 들어가 있는 소셜 댓글 플래폼 링크를 활용하여 공격코드를 삽입시켜 놓고 대량 유포통로로 활용하고 있다는 점은 매우 심각한 사안이며 매주 반복되는 상황이지만, 강도는 더욱 높아졌다”며 “주말 동안 인터넷 서핑 및 언론사 뉴스를 보았다면, 감염이 되었을 확률은 매우 높다. 이를 이용하고 있는 웹 서비스 관리자들은 반드시 확인이 필요하다”고 조언했다.
 
한편 155.230.154.2는 경북대학교의 IP 주소다. 경북대학교에 악성코드를 직접 올려놓은 정황도 빛스캔에 의해 포착되었다고 한다.
 
 
지난해 말부터 공격자들은 탐지를 회피하기 위해 국내 도메인을 악용하는 사례가 많이 증가하였다. 경북대학교 사이트에 악성코드를 올려놓고 다운받게 하여 국내 정상 사이트라고 착각할 수 있게끔 만드는 치밀함을 보이고 있다.
 
몇몇 웹 서비스 관리자는 악성링크로 의심은 하지만 달리 방법이 없으니 해외나 국내나 그냥 무시하거나 주석처리 외 다른 방안에 대해 엄두를 내지 못하고 있는 실정이다.
 
빛스캔 관계자는 “웹 서비스 관리자가 삭제하면 어느새 공격자는 자동화 도구로 은밀히 또 다시 삽입을 해 유포지로 활용을 한다. 다시 말하면 이미 웹 서비스의 모든 권한은 공격자가 가지고 있다는 것을 의미한다”며 “침해사고가 발생한 웹 서비스 기업 및 상장사는 홈페이지 등에 관련 사항에 대해 충분히 알려 위험에 적극적으로 대비를 해야 더 큰 피해를 막을 수 있을 것”이라고 조언했다.
 
특히 현재 벤더사의 패치가 이루어졌음에도 불구하고 여전히 IE, JAVA 취약점을 활용해 대규모 유포로 활용되고 있다 그 만큼 성공률이 좋다는 것으로 매우 심각한 상황이다. 또한 국내·외 백신을 우회하는 기능을 포함한 악성코드 및 자동화 공격도구가 출현하고 있어 단순히 백신만으로 대응은 불가능한 상황이라 볼 수 있다.  
 
빛스캔 관계자는 “이런 빠른 공격에 대응하기 위해서는 우선 악성코드를 배포하는 유포지에서 빠르게 탐지해 차단하는 것이 가장 좋은 방법”이라며 “이미 유포지나 경유지로 사용되고 있는 사이트의 사용자 접속을 네트워크 단에서 차단해 악성코드 감염을 예방하는 것 또한 좋은 대책”이라고 말했다.
 
현재 빛스캔은 국내 120만개의 웹 서비스와 해외 10만 여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 알려지지 않은 위협에 대해 대응을 하기 위한 보고서다. 문의는 info@bitscan.co.kr로 하면 된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com 
 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★