2024-03-28 20:15 (목)
씨엔블루 일본 사이트 악성코드 유포…일본도 타깃!
상태바
씨엔블루 일본 사이트 악성코드 유포…일본도 타깃!
  • 길민권
  • 승인 2013.03.12 18:13
이 기사를 공유합니다

감염시, 사용자 PC 권한 장악과 금융정보 탈취 가능
한국 사이트에 무자비한 악성코드 유포 공격을 하던 것과 유사한 방식으로 일본 사용자들을 대상으로 한 악성코드 유포 현장이 포착됐다.
 
빛스캔(대표 문일준)은 자사 PCDS(Pre-Crime Detect Satellite) 악성코드 탐지 시스템을 통해 지난 2월 5일 씨엔블루 일본(cnblue.jp) 웹사이트에 비정상 링크가 걸리고 공격자가 로그를 분석할 수 있는 링크를 삽입한 것을 발견했다. 공격을 위한 사전준비라고 보여진다.   
 
이를 지속적으로 관찰한 결과, 2월 7일 오전 11시 경 씨엔블루 일본 사이트에 실제 공격을 수행하는 악성링크 및 공격링크가 삽입 된 것을 확인했다.
 
이때 cnblue.jp 웹사이트에 삽입된 취약점(CVE-3544-4681-1889)으로 Java(2종)+IE(1종) 등이 사용되었다.
 
또 다시 2013년 2월 8일 또 다른 악성링크 및 공격코드가 삽입 된 정황이 포착 되었다. 2월 11일에는 똑같은 악성링크내에 공격코드에서 내려오는 악성파일은 “파밍”의 기능을 하는 것으로 분석이 되었다.

 
며칠 주춤하던 공격이 다시 3월9일 18시경 cnblue.jp 사이트에 또 다시 악성링크를 삽입한 정황이 탐지되었다.
 
해당 링크에서 내려오는 악성파일은 자바(6종)+IE(1종)+Flash(1종)등 8가지 취약점(CVE-3544-0507-1723-4681-5076-1889-0442-0634)을 사용하는 것으로 분석되었으며, 최종 악성파일의 기능은 “파밍”이었다. C&C와 연결되어 추가적으로 4가지도 발견되었다.
 
공격자는 얼마든지 다른 기능의 악성파일을 유포할 수 있음에도 불구하고, 왜 일본 웹 서비스에서도 한국에서 이슈가 되고 있는 “파밍” 기능의 악성파일을 대량으로 유포한 것일까.
 
빛스캔 관계자는 “먼저 한국 내에서도 파밍이 이슈가 되고 있다. 해당 악성파일에 감염되면, 방문자 PC 모든 권한은 공격자에게 넘어 간다. 또한 해당 악성파일은 파밍의 기능을 포함하고 있어, 정상적인 금융권 웹 사이트를 방문했음에도 불구하고 가짜 사이트로 이동시켜 금융정보를 탈취해 간다”며 “그리고 감염 확률을 높이기 가장 쉬운 공격방법이 웹 서비스를 방문하는 사용자들을 대량으로 감염시키는 것이다. 감염이 되면 사용자 PC의 권한을 획득할 것이고 그 다음은 공격자가 원하는 대로 2차, 3차 공격이 가능한 것”이라고 설명했다.
 
국내에서 금융뿐만 아니라 다양한 서비스를 이용하기 위해서는 공인인증서라는 독특한 체계를 이용해야 한다. 최근에는 게임사이트의 결제까지 공인인증서를 사용하도록 강제하려는 움직임도 보이고 있다.
 
일본의 경우 공인인증서가 없기 때문에 SSL과 같은 기본적인 웹 보안 통신 기술과 OTP와 같은 부가적인 보안 기술을 함께 혼용하여 사용하고 있다.
 
이 기업 관계자는 “사용자 PC를 공격자가 모니터링하고 있다면, 일본에서도 금융거래에 있어 안전할 수는 없다”며 “한국 사이트 공격에서 재미를 못 볼 경우 그 다음 타깃은 일본이 될 가능성이 크다”고 진단했다.
 
더불어 “이렇게 국경을 초월해 발생하는 악성코드의 유포를 막기 위해서는 차단이라는 사후적인 대응이 아니라 예방이라는 사전 대응적 수단을 강구해야 한다”며 “악성코드 유포가 발생한 웹서비스에 대한 보안 감사를 철저히 해 재발을 막아야 하며, 이를 위해서는 웹 취약점 진단을 통한 소스 수정이나 웹방화벽의 도입이 필수다. 그리고 관련 기관 및 보안 업계의 공동협력을 통해 악성코드 유포 행위 자체를 빠르게 탐지, 차단함으로써 위험이 널리 퍼지지 않도록 선제적 대응을 해야 한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★