2024-03-28 19:35 (목)
KT체임버홀 홈페이지, 악성코드 유포 중계지로 악용돼!
상태바
KT체임버홀 홈페이지, 악성코드 유포 중계지로 악용돼!
  • 길민권
  • 승인 2013.02.07 17:06
이 기사를 공유합니다

현재 재거된 상태…하지만 여전히 위험성 존재해
지난 2월 2일 새벽, KT체임버홀 웹사이트에서 악성코드를 유포하는 중계지로 활용된 정황이 빛스캔(대표 문일준) PCDS에서 파악됐다. 한편 KT체임버홀 이외에도 동일한 공격을 당한 사이트는 무려 40여 개에 달하는 것으로 조사됐다.

  
KT체임버홀 웹사이트 내에 삽입 되었던 악성링크는 112.169.xxx.xx/xxxx.html이고, 현재는 제거가 된 상태다. 하지만 구글의 세이프브라우징은 사이트 자체를 차단하고 있어 웹 사이트 방문자로 하여금 혼란을 주고 있는 상황이다.
 
 
악성 링크의 세부 정보는 다음과 같다.
                  
 
112.169.xxx.xx/xxxx.html 악성링크에서 내려오는 악성파일은 112.169.xxx.xx/lexplore.exe이며 아래와 같은 역할을 하고 있다.
1. 아래 사이트에 접속후 감염정보 전송
- 112.169.xxx.xx/xxxxx/fangwen.asp?uid=112&count=1
2. 아래 사이트에 접속후 다운로드 요청
- 112.169.xxx.xx/lexplore.exe
 
해당 악성파일을 분석한 결과, 다운로더 역할을 하는 것으로 분석됐으며, 다운로더는 특정 웹 사이트에서 파일을 내려 받으며 그 파일이 사용자 정보 탈취 및 또 다른 기능의 악성파일을 내려 받게 한다. 공격자가 원하는 기능의 악성파일을 내려 받아 공격자의 명령을 수행할 수 있도록 대기 하게 한다.
 
빛스캔 관계자는 “최근 악성코드의 유포 및 중계지로 활용되는 웹사이트가 해외에서 국내로 급격하게 이동하고 있다”며 “방문자가 적은 웹사이트보다는 방문자가 많은 사이트, 그리고 방문자가 의심하기 어려운 유명 사이트 그리고 대기업이 운영하는 웹사이트에 대한 공격이 늘고 있다”고 말했다.
 
KT체임버홀은 KT의 패밀리사이트로 KT의 브랜드를 활용했기 때문에 방문자는 웹사이트의 보안이 안전할 것으로 예상하고 방문했을 가능성이 높다. 공격자는 이 점을 노리고 해당 사이트를 유포지로 활용했을 가능성이 높다.
 
빛스캔 관계자는 “대기업과 같이 다양한 웹사이트를 운영하는 조직에서는 주로 외부에 대표적으로 노출되는 웹사이트에 대해서만 보안에 주력하는 상황이다. 자주 알려지지 않거나 협력사와 같이 내부적으로 사용되는 웹사이트에 대한 보안은 상대적으로 불안한 실정”이라며 “인터넷에 공개된 웹사이트라면, 대표 홈페이지와 동일한 수준의 보안 정책 및 감사를 시행해야 한다는 공감대가 형성되어야 웹사이트의 전체적인 보안이 가능해 질 것”이라고 조언했다.  
 
현재 빛스캔은 국내 120만개의 웹 서비스와 해외 10만여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매우 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 문의는 info@bitscan.co.kr로 하면 된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★