2024-03-29 18:55 (금)
SK 스마트폰 W웹사이트에서 악성코드 유포...주의
상태바
SK 스마트폰 W웹사이트에서 악성코드 유포...주의
  • 길민권
  • 승인 2013.09.16 18:00
이 기사를 공유합니다

빛스캔 “휴면사이트 웹서버에 대한 악성코드 유포 등 보안 점검 필요”
SK 스마트폰 W 웹사이트(이하 sk-w.com)에서 악성코드를 유포한 흔적이 지난 9월 12일에 빛스캔(대표 문일준) PCDS에서 발견되었다. 현재까지도 홈페이지의 컨텐츠가 여전히 변조된 상태로 남아 있다.

 
삽입된 URL은 hxxp://hellobuy.com/shop/log/my/index.xxx로, 추가 분석을 통해 해당 URL은 지난 8월 25일 경에 국내에서 최초로 발견되었으며, 그 이후 수일간 악성코드를 유포한 것으로 추정된다.
 
참고로, sk-w.com 웹사이트는 SK 텔레시스에서 운영하는 것으로, 구형 풀터치폰과 스마트폰에 대한 정보를 제공하며, 컨텐츠를 살펴본 결과 지난 2011년 하반기부터 정상적으로 운영되지 않고, 현재에는 방치된 상태로 보인다.
 
빛스캔 관계자는 “sk-w.com과 같이 더 이상 정상적으로 운영하지 웹서비스에 대한 적절한 보안 대책을 강구해야 하지만, 현재까지 약 2년 정도 부실하게 운영되고 있으며 악성코드 유포 등에 활용되어 방문자에게 큰 피해를 입히고 있는 실정”이라고 공개했다.
 
또 “컨텐츠 변조를 통해 악성코드가 유포될 정도라면 이미 공격자는 웹서버에 대한 관리자 권한을 가진다고 볼 수 있다”며 “게시판이 사용되는 것으로 보아 로컬 또는 내부 네트워크에서 DB와 연동된다고 추정할 수 있으며 최근의 APT 공격등과 같이 기업이나 조직을 대상으로 하는 공격에서는 이러한 부분을 통해 내부로 잠입하는 교두보로 활용하거나 데이터베이스 정보를 빼내는 경우가 다수 있어 더욱 문제가 심각하다”고 강조했다.
 
빛스캔 측은 이러한 문제를 해결하기 위해서는 다음과 같은 방안이 필요하다고 제안했다.
 
①비 업무용 웹서버에 대한 보안 정책 수립 및 적용
sk-w.com 사이트와 같이 웹서비스를 더 이상 제공하지 않거나, 보관/백업 용도로 보관하거나, 새로운 웹서비스 개발을 위해 사용되는 일시적인 테스트용 웹서버 등에 대한 적절한 보안 정책을 수립하고 적용할 필요가 있다.
 
②웹 취약점 점검 및 해결
악성코드 유포를 위한 홈페이지 변조를 위해서 공격자는 SQL Injection 이나 RFI(Remote File Inclusion)과 같은 웹 취약점을 활용하여 서버의 권한을 탈취한다. 따라서, 이러한 웹 취약점을 정기적으로 점검하여 해결해야 하며, 시간이나 금전적으로 가능한 경우에는 모의 해킹 등도 고려한다.
 
③웹쉘 탐지 솔루션
웹 취약점을 통해 보통 웹쉘이나 루트킷 등을 서버에 설치하여 공격을 완성(!)한다. 그 이후 공격자의 필요에 따라 다양한 공격을 위해서 웹쉘 등을 설치하는 경우가 거의 대부분이다. 따라서, 웹서버에 설치되는 웹쉘을 탐지하여 제거하는 방안도 고려해야 한다.
 
④악성코드 URL 탐지 솔루션
웹서버에는 대부분 DB와 연동이 되어 있어 공격자는 대부분 DB 탈취를 목적으로 한다. 하지만, 최근에는 DB보다 악성코드를 유포하기 위한 매개체로 활용하는 경우가 늘고 있다. 따라서, 운영 중인 웹서비스에서 악성코드 유포에 활용되는 URL을 탐지하는 방안도 고려해야 한다. 특히, 최근에는 파밍과 같이 금융 관련 범죄를 노리는 악성코드를 유포하는데 활용되는 사례가 많다.
 
웹서버의 운영은 기업이나 조직이 손쉽게 개인이나 방문자에게 정보를 제공하고, 또는 개인정보를 넘겨받아 활용하는 등 손쉽게 운영이 가능하다. 하지만, 앞에서 언급한 바와 같이 기능에만 충실하고 보안에 대해 간과하는 경우 개인정보 유출, 악성코드 유포 등 방문자에게 치명적인 피해를 줄 수 있다는 점에서 웹서버 관리자 및 보안 관리자는 보다 많은 관심과 노력을 기울일 필요가 있다.
 
더불어 빛스캔 측은 “SK지크 엔진오일 사이트(www.skzic.com)에서도 약 2년 전 악성코드 유포에 활용된 링크가 여전히 남아 있는 실정”이라고 덧붙였다.
 
기업들은 현재 운영하고 있지 않지만 인터넷에 물려있는 방치 사이트에 대한 악성코드 유포 현황을 면밀히 조사해 악성코드 유포에 악용되는 사례가 발생하지 않도록 주의를 기울여야 할 것이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★