이익훈어학원 웹 사이트가 접속자들에게 지난 3월 14일부터 4월 15일까지 악성유포지 및 경유지로 악용되고 있는 심각한 정황이 포착됐다. 어학원 측의 적극적이고 근본적인 조치가 필요한 상황이며 해당 사이트 접속자들은 악성코드 감염 위험이 있어 접속시 주의해야 한다.  

 
이를 발표한 빛스캔(대표 문일준)측은 “공격자들이 이익훈 어학원 사이트를 해킹해 정상적인 URL에 공격코드를 삽입하고 이익훈어학원 방문자에게 악성파일을 유포한 것은 물론이고 더 나아가 다른 웹 서비스에 탐지를 회피한다”며 “폭넓게 감염자를 확보하기 위해서 정상 링크로 위장해 이용되는 유포지로 활용된 정황이 PCDS(Pre-Crime Detect Satellite)에 의해 단기간 대거 포착됐다. 최근 이 사이트가 경유지로 이용된 사례는 더욱 많으나, 사례 중 심각성이 높은 단계라 공개한다”고 밝혔다.

 
3.20 해킹사건 이슈에서 핵심적인 내용은 통로개척용 악성코드(백도어나, 트로이목마)와 연관성이 크다. 사용자들이 자주 방문하는 사이트를 대상으로 한 악성코드 유포시도는 새로운 이야기가 아니다. 그러나 현재의 악성코드들은 파밍뿐 아니라 시스템 파괴행위까지도 관찰되고 있고 내부망으로 침입 할 수 있는 유용한 수단으로 직접 활용 되고 있어서 심각성이 높고, 대량으로 유포되고 있다는 점에 있어서 단순한 정보탈취와는 다른 위험으로 봐야 한다.   

 
빛스캔 관계자는 “악성코드를 대량으로 감염시키는 매커니즘은 모든 방문자를 대상으로 감염을 시키는 상황에서 발생한다. 취약한 웹 사이트에 공격자가 인위적으로 수정해 추가한 악성링크(비정상링크)를 통해서 대량 유포된다는 점”이라며 “인위적으로 수정 할 수 있도록 만드는 진입통로를 막지 못한다면 3.20 이슈와 같은 상황은 수시로 발생 될 수밖에 없으며, 내부에 감염이 되면 모든 권한은 공격자가 가지게 되므로 감염확산 및 추가적인 2차, 3차 공격은 계속될 것”이라고 경고했다.
 
해당링크는 이미 잘 알려져 있는 정상링크라는 점이다. 정상링크를 악성링크로 사용했다는 점은 화이트리스트 기반의 탐지장비 및 악성링크 차단을 우회하기 위한 목적이 크다고 할 수 있다. 악성링크내의 공격코드를 분석해보면 최근 8개 취약성을 사용하고 있는 것으로 파악이 되며 Java 취약점(6종)+IE(1종)+Flash(1종)이 사용된 복합적인 공격으로 구성되어 있는 것으로 나타났다.

 
빛스캔 측은 최근 악성코드 공격이 주말에만 한정되는 것이 아니라 주중에도 활발하게 이루어지고 있어 우려를 표하고 있다.
 
문일준 대표는 “악성코드 유포를 위해 취약한 웹 서비스들에 대량으로 악성링크를 삽입해 이루어지는 공격은 여전히 활발하게 이루어지고 있음은 물론이고, 정상링크를 활용한다는 것은 탐지장비 및 전문가들도 판단하기 어려울뿐더러 일반 사용자들은 악성링크가 삽입된 사이트에 방문만 하더라도 해당 웹 페이지에 삽입된 링크로 연결되어 자신도 모르는 사이에 악성코드에 감염되는 Drive-by download 공격에 노출될 수밖에 없다”며 “정상 페이지로부터 자동 접속되는 악성링크는 사용자 PC의 다양한 어플리케이션의 취약점을 이용해 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다. 또한 초기 설치되는 악성파일들은 국내에서 사용되는 주요 백신을 우회하도록 제작되어 있어 초기 대응은 사실상 어려움이 많다”고 설명한다.
 
또 “모든 악성링크가 추가된 모든 웹서비스는 방문자를 대상으로 공격이 발생되며, 접속하는 브라우저가 해당 취약점 중 한가지 취약점에만 노출되어도 감염되고 좀비PC가 된다. 감염이 된다면 PC의 모든 권한이 공격자에게 넘어간 상태가 되고, 파밍 및 DDoS, 게임계정 탈취 등 2차~3차 피해로 이어질 수 있다”고 밝히고 “또한 해당 공격은 매주 주말에 공격이 주로 나타났는데, 최근 들어 주중에도 공격이 활발하게 있다는 점은 대응 자체가 일회적인 악성링크의 제거에만 집중 하고 있어 발생하는 현상으로 보인다. 공격에 이용되는 백도어(웹쉘 등)나 근원적인 취약점을 해결하지 않는다면 향후에도 계속될 수밖에 없어서 긴급하고 확실한 대응방안이 요구된다”고 우려했다.
 
악성코드를 유포한 사례가 있는 웹 서비스는 자체적인 보안대책을 강구하기 어렵다면, 전문기관이나 전문기업의 협조를 받아 문제의 원인을 찾아 해결해야만 한다. 근원적인 원인을 찾아 대응하지 않는다면, 끊임없는 악성코드 유포 이슈와 내부 정보유출의 위험을 항상 우려해야만 할 것이다.
-사고 신고: www.krcert.or.kr/kor/consult/consult_01.jsp
-웹보안 서비스 참고: www.krcert.or.kr/kor/webprotect/webprotect_01.jsp
 
한편 빛스캔은 국내 150만개, 해외 30만개 등 매일 180여만개의 웹사이트에서 발생하는 악성코드 유포 및 경유 사례를 실시간으로 관련 정보를 수집 분석하고 있으며, 올해 가장 충격적인 이슈인 3.20 사이버 테러 이전에도 인터넷 위협에 대한 경고를 3월 15일 경에 언론을 통하여 발표한 바 있다. 또 그 이후에도 악성코드 및 C&C 관련 정보를 30여개 기관 및 보안 기업에 제공하여 3.20 사이버 테러의 사후 분석에 도움을 준 바가 있다.
 
빛스캔 측은 악성코드가 직접 올려진 상태로 이용되는 유포지로 활용되는 경우 그리고 악성코드를 중계하는 형태의 경유지 사례 중 심각성이나 빈도가 높은 경우 내부 정책에 의해 이번 이익훈 어학원 사이트처럼 공개원칙을 가지고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com