유명 커뮤니티 디시인사이드가 변조된 채로 1년 이상 방치되어있는 것으로 의심된다는 제보가 들어왔다. 검색을 통해 해당 웹사이트로 접속할 때 랜덤한 확률로 302 Moved Temporarily를 발생시켜 다른 웹 페이지로 리다이렉션을 시키고 있다는 내용이다.
 
이를 데일리시큐에 제보해 온 한국폴리텍2대학 고남현씨는 “검색을 통해 해당 공격자가 다른 웹사이트에서도 비슷한 공격을 감행한 흔적을 찾을 수 있었다. 검색 결과 해당 공격자는 웹 해킹에 관심이 많은 중국인으로 추정된다”며 “보통 악성코드로 인한 리다이렉션 피해가 많아, 웹 사이트의 문제로 리다이렉션이 발생하더라도 사용자의 컴퓨터 문제로 여기는 경우가 많아 대수롭지 않게 넘겨온 것 같다. 규모가 큰 사이트라 패킷 정보와 함께 관련 기관에 상세 내용을 전달했지만 이후로 아무런 답변이 없어 데일리시큐에 제보하게 됐다”고 전했다.
 
그는 “아직은 자신들의 웹 페이지로 이동시켜 광고 수익을 올리는 것이 목적으로 보이지만 마음만 먹으면 Drive-by-Download 공격으로도 이용할 수 있어 주의해야 한다”고 강조했다.
 
좀더 자세한 설명을 덧붙이며 “최근 디시인사이드를 검색을 통해 접속할 때 간혈적으로 aXX.tistory.us(일부 X로 표기)로 이동되는 사례가 다수 발생하고 있다”며 “이미 이 내용에 대해 여러 이용자들이 검색 제공 업체에 신고를 한 상황이고 저도 연락을 해보았지만 별다른 조치를 취할 수 없다는 답변만 받았다. 아직 이용자 PC에 악영향을 미치는 행동은 발견되지 않았지만 주의할 필요가 있다”고 밝혔다.
 
현재 이 문제와 관련 디시인사이드에 문의를 했지만 담당자에게 전달하겠다는 말만 받았을 뿐 여전히 해결되지 않고 있다. 또 네이버에는 분석자료를 제출해 문의를 남겼으나 어떤 조치도 취할 수 없다는 답변을 받았다고 한다.
 
aXX.tistory.us에는 접속자 수 체크용도로 쓰인 다음의 티스토리 블로그를 아이프레임 형식으로 불러오는 부분이 있어 포털 다음에도 문의했지만 다른 블로거들의 문의에도 정상적인 신고만 접수됐다는 말만 되풀이할 뿐 아무런 조치도 취하지 않고 있다고 한다.
 
그는 “해당 서버에 리다이렉트 문제를 초래하는 파일이 심어져 있거나 의도하지 않은 설정이 되어있을 가능성이 매우 높다. 이전에도 디시인사이드는 여러 차례 웹 페이지 변조 사례로 물의를 일으킨 적이 있다”며 “이번에는 장기간 해결이 안되고 있는 부분인 만큼 서버를 살펴봐 조속히 해결하기를 바란다”고 권고했다.
 
또한 “중국 해커가 사전 조사를 위해 이 같은 일을 벌이고 있을 가능성이 매우 높다. 몇개월 동안 지속되고 있는 만큼 아직 별다른 피해가 없다고 그냥 넘어갈 사항은 아니다”라고 강조했다.
 
이에 대한 자세한 분석 내용을 그는 자신의 블로그에 설명하고 있어 참조하면 된다.
-웃는하루의 블로그: blog.ko-kr.net/63
 
한편 해당 공격자에 대한 Whois 조회 내용 등에 대한 블로거 포스팅 내용도 올라와 있다.
-tabblog.tistory.com/163 / -tabblog.tistory.com/151
 
이 사안에 대해 데일리시큐는 KISA에 관련 내용을 전달하고 보안조치 협조를 요청할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com