국내 주요 사이트의 관리자 계정을 수집하는 악성파일 숙주가 국내 특정 웹 사이트 2곳에서 유포 중인 것이 발견됐다.
 
잉카인터넷 관계자는 “7월 26일 오후 1시경 현재 해당 웹 사이트가 정상적으로 작동하고 있으며 유관기관 등에 신속하게 악성파일 유포지 정보를 공유하고 차단협조를 요청한 상태”라며 “해당 악성파일들은 언론사, 광고사, 게임사, 포털사, 교통, 통신, 커뮤니티, 보안장비 등의 웹 사이트 관리자 페이지 정보를 보유하고 있어 각별한 주의가 필요하다”고 강조했다.
 
또 “기존 3.20 사이버 테러와 6.25 사이버전의 공격코드 형태와는 다른 종류다. 이것을 미루어 보아 온라인 게임 계정 탈취기능의 사이버 범죄 조직들이 유명 웹 사이트의 관리자 계정 정보 수집을 시도하는 새로운 움직임으로 의심되고 앞으로 웹 사이트 관리자들의 보안관리 강화가 필요할 것으로 보여진다”고 덧붙였다.
 
보안전문가들은 “특정 웹 사이트의 관리자 계정이 노출되면 각종 정보가 외부로 탈취되는 것과 함께 내부망에 침투할 수 있는 계기를 마련해 줄 수 있다. 따라서 웹 사이트의 로그인 정보가 외부로 유출되지 않도록 키보드 보안 및 악성파일 차단 등 다양한 보안장치가 필요하다”고 강조했다. 
 
잉카인터넷 대응팀 설명에 따르면 해당 악성파일의 특성은 다음과 같다.
 
해당 악성파일은 마치 디지털 카메라의 사진 이미지처럼 파일명(DSC_UP0399.JPG)을 위장하고 있으며, 국내 시민모임 관련 사이트와 언론사 사이트 등 모두 합쳐 2곳을 통해서 전파된 것이 공식 확인되었다. 확장자는 JPG 이미지 파일이지만 사용자 컴퓨터에는 EXE 형태의 실행파일로 감염되어 동작하게 된다.

 
DSC_UP0399.JPG 악성파일은 2013년 7월 24일 새벽에 제작되었으며, 7월 24일 경부터 국내에서 유포 중인 정황이 포착됐다.

 
악성파일은 기본적으로 온라인 게임 계정 탈취용 기반으로 제작되어 있으며, 국내외 보안제품들의 정상작동을 방해하는 작업을 한다. 더불어 또 다른 웹 사이트에서 GIF 이미지 파일로 위장한 다수의 악성파일을 다운로드 시도한다.

 
악성파일은 온라인 게임 계정 탈취 기능외에 국내 특정 웹 사이트들의 관리자 사이트 정보를 수집 시도한다. 2005년 경부터 온라인 게임 계정을 탈취시도하는 악성파일은 드라이브 바이 다운로드(Drive By Download) 기법을 통해서 국내 다수의 웹 사이트에서 악성파일이 유포되고 있다.

 
악성파일이 사용하는 명령제어서버(C&C)는 중국 사이트로 구성되어 있다.

 
잉카인터넷 문종현 팀장은 “국내 유수의 관리자 페이지 정보를 수집시도하는 악성파일이 등장했기 때문에 해당 기업들은 공개되어 있는 관리자 페이지의 접근제어 보안을 강화하거나 노출된 관리자 페이지의 정보를 수정하는 노력이 필요하다”며 “가능하다면 관리자 페이지의 경우 기업 내부에서만 접근할 수 있도록 조치하고 아이디 암호는 수시로 변경하는 보안정책 수립도 중요하다”고 주의를 당부했다.
 
또 “언론사, 포털사, 게임사, 철도 등 국내 주요 웹 사이트의 관리자 정보를 노리는 악성파일이 출현함에 따라 기업 관리자들의 각별한 주의가 요망된다”며 “보안 취약점에 의해서 악성파일이 다수 전파되고 있으므로, 운영체제와 각종 응용프로그램은 항시 최신버전으로 유지하는 기본적인 보안수칙 준수가 필요하다”고 덧붙였다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com