2024-03-19 19:05 (화)
티토크 서비스 악용 악성코드 유포…위험수위!
상태바
티토크 서비스 악용 악성코드 유포…위험수위!
  • 길민권
  • 승인 2013.06.03 18:27
이 기사를 공유합니다

빛스캔 “단순 악성링크 제거 아닌 원인제거 확실히 해야”
올해 1월에 악성링크가 추가되어, 서비스를 이용중인 다수의 언론사와 기업들을 통해 악성코드 감염 시도가 발견된 정황이 있다. 5개월이 지난 6월 1일에 다시 새로운 유형의 악성코드를 유포하는 정황이 발견돼, 근본 원인에 대한 철저한 제거가 없다면 앞으로도 문제 재발 가능성은 매우 높은 상황이다. 단순히 악성링크를 제거하는 것이 아닌 원인제거를 확실하게 해야만 할 것으로 보인다.
 
A사는 SNS계정의 아이디로 댓글을 작성해 자신의 지인들과 내용을 공유할 수 있도록 하는 신개념 소셜 댓글 서비스로서, 티토크가 지원하는 소셜 커뮤니티 중에는 트위터, 페이스북, 구글 블로그 등 대부분의 SNS 서비스에서 활용할 수 있도록 되어 있다.
 
빛스캔 측은 "티토크를 서비스하고 있는 사이트에 악성코드가 유포되고 있어 주의가 필요하다"고 밝혔다.
 
빛스캔 관계자에 따르면 “올해 1월 26일 새벽 티토크의 서비스인 티토크의 웹소스에 악성코드를 유포할 수 있는 경유지 URL이 삽입되어 이를 사용하는 웹 서비스에 대규모 유포를 한 정황이 포착된 바 있다”며 “이후 5개월이 지난 6월 1일 새벽 1시 50분경 다시 한번 악성코드 확산에 이용된 정황이 탐지됐다. 최종 제거는 6월 3일 오전 10시 이후에 삭제된 것으로 확인되었다. 특히 주말에 해당 사이트를 방문한 이용자들은 악성코드에 감염될 확률이 매우 높았을 것으로 추정된다”고 우려했다.
 
또 “올해 악성코드의 공격 동향을 분석해 본 결과, 악성코드 유포 또는 경유 링크수는 줄고 있는데 반해 많은 사이트들이 공통적으로 사용하는 서비스를 대상으로 하는 공격이 집중되고 있으며 티토크가 가장 대표적인 예로 들 수 있다”며 “또한 이미 자바와 IE에 대한 패치가 나와 있지만 사용자의 정보 부족 또는 무관심으로 인해 여전히 패치되지 않은 PC가 많고 이를 공격자가 효과적으로 활용하고 있다”고 설명했다.  
 
분석 자료에 따르면, 최종적으로 사용자 PC에 이용되는 취약성은 Java 취약성으로, ttalk 소스를 통해 실행된 공격은 Java 취약성인 CVE 2012-1723, 2012-4681, 2013-0422 취약성이다. 자바의 특성상 자동 업데이트가 되지 않고 사용자의 선택에 의존해야 하기에, 보안 패치 비율은 상대적으로 낮을 것으로 예상된다. 적극적인 패치 활동이 확실히 되어야 그나마 피해를 줄일 수 있을 것이다.
 
공격을 통해 설치되는 악성파일은 추가적인 악성코드를 받아오는 다운로더와 트로이목마 특성이 혼재되어 있는 것으로 분석되어, 추가적인 공격과 원격제어에 대한 위험성은 높다고 볼 수 있다.
 
빛스캔 관계자는 “공격자는 국내 주요 웹 사이트에 공통적으로 들어가 있는 소셜 댓글 플랫폼 링크를 활용해 공격코드를 삽입 시켜 놓고, 대량 유포통로로 활용하고 있다는 점은 매우 심각한 사안이며 매주 반복되는 상황이지만 강도는 더욱 높아졌다”고 밝혔다. 
 
특히 “현재 제조사의 패치가 이루어졌음에도 불구하고 여전히 IE, JAVA 취약점을 활용하여 유포로 활용되고 있다. 그 만큼 성공률이 좋다는 것이라고 말할 수 있으며 매우 심각하다”며 “또한 국내외 백신을 우회하는 기능을 포함한 악성코드가 및 자동화 공격도구가 출현하고 있어 단순히 백신만으로 대응은 불가능한 상황”이라고 말했다.  
 
빛스캔 측은 “이런 빠른 공격에 대응하기 위해서는 우선 악성코드를 배포하는 유포지에서 빠르게 탐지하여 차단하는 것이 가장 좋은 방법이라 볼 수 있다”며 “그리고 이미 유포지나 경유지로 사용되고 있는 사이트의 사용자 접속을 네트워크 단에서 차단하여 악성코드 감염을 예방하는 것 또한 좋은 대책”이라고 강조했다.

한편 티토크 관계자는 “기업 고객 대상의 기능 및 성능이 향상된 업그레이드를 진행 중에 있다. 대부분 고객은 업그레이드가 완료된 상태지만 일부 고객은 아직 완료하지 못한 상태다”라며 “이번에 보안 침해 사고를 당한 고객사는 모두 업그레이드를 하지 않은 구버전 사용 고객사로서 피해 고객사는 5개 고객사다. 모두 일반 기업 고객으로 기사에서 언급된 언론사 또는 인터넷 쇼핑 사이트는 아님을 알려드린다”고 밝혔다.

데일리시큐 길민권 기자 mkgil@dailysecu.com
 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★