국내 웹 사이트 관리자 계정을 노린 악성파일 변종이 추가로 발견됐다. 해당 악성파일은 국내 특정 웹 사이트 관리자의 계정정보를 집중적으로 수집시도하고 있기 때문에 각별한 주의가 필요하다. 공격대상에 포함된 곳들은 언론사, 광고사, 포털사, 게임사, 보안장비 및 기업, 교통, 통신, 커뮤니티 등 다양한 분야의 웹 사이트가 포함되어 있으며, 일부는 정상적으로 접근이 가능한 상태로 운영되고 있는 상태이다.
 
잉카인터넷 대응팀은 “악성파일의 공격 대상 리스트에 포함된 경우 이미 악의적인 공격자에게 관리자 페이지가 노출된 상태이기 때문에 각 기업은 관리자 권한이 탈취되지 않도록 외부의 접근을 제어함과 동시에 관리자 페이지 주소를 정기적으로 변경하고, 허가된 사용자만 로그인이 가능하도록 접근제어 등의 보안강화 조치가 요구된다”며 “더불어 관리자 암호나 보안을 강화하기 위한 꾸준한 관심과 노력이 필요하다”고 강조했다.

 
이러한 종류의 악성파일에 감염될 경우 웹 사이트 관리자 권한 노출과 동시에 기업 내부망에 해커가 침투할 수 있는 통로를 열어줄 수 있게 된다. 따라서 웹 사이트 관리자들은 이런 부분에 소홀함이 없도록 외부의 접근을 차단하고 허가된 이용자만 로그인이 가능하도록 하는 다양한 보안장치 설정이 중요하다.
 
대응팀에 따르면, 악성파일은 기존 변종들과 마찬가지로 마치 이미지 파일처럼 보이도록 확장자를 JPG 이름으로 위장해 미국의 특정 호스트에서 배포 중에 있다. 이 곳에서 2013년 10월 18일과 10월 23일 변종이 2차례 유포된 정황이 확인됐고, 유관기관 등에 신속하게 악성파일 유포지 정보를 공유하고 차단협조를 요청한 상태라고 한다.
 
악성파일은 온라인 게임 계정 탈취 기능 외에 국내 특정 웹 사이트들의 관리자 사이트 정보를 수집 시도고 있는 것으로 드러났다. 아래 계정들은 이번 악성파일이 관리자 계정을 노리고 있는 사이트들이다.(일부 *표시)
 
http://www.merger.co.kr/bbs2/index.php?id
http://eplus.mk.co.kr/admin2011/
http://advert.iztel.co.kr/advert_admin/
http://login.******.com/websso16/gon/admin/login.htm
http://mail.osen.co.kr/module/member/login.php
cms.osen.co.kr/admin/member/login
http://adv5.etnews.co.kr/RealMedia/ads/OpenAd/adbiz.cgi
http://tech.etnews.com/99_MGMT/10_MAIN/loginFm.php
http://bizcenter.etnews.com/webmail/index.html
http://mail.etnews.co.kr
http://admin.cyad.co.kr/login.php
http://admin123.xportsnews.hankyung.com/
http://mail.news1.kr
http://admin.kukiedu.co.kr/slk_login.aspx
http://tvadmin.edaily.co.kr/adminlogin.asp
http://seoula.seoul.co.kr/admin/login.html
https://121.159.80.2:50005/index.php
https://192.168.3.1:50005/index.php
https://210.179.198.226:50005/index.php
https://211.180.150.146/index.cgi
https://220.123.212.113:50005/
http://tkadmin.yes24.com/manage/login.aspx
https://partneradmin.ezwel.com/cpadm/login/loginForm.ez
http://mail.ajnews.co.kr/
http://admin.t-ad.co.kr/
http://admin.t-ad.co.kr/loginPage.do
http://intra.ndoors.com/
http://sponevt.hangame.com/
http://mail.m2games.kr/
http://martini.npicsoft.com
https://xmail.npicsoft.com
http://khcms.khan.co.kr
http://mail.khan.co.kr
http://start.khan.co.kr
http://ticketadmin.auction.co.kr/Manage/Login.aspx
http://condoadmin.auction.co.kr/Manage/Login.aspx
http://admin.heraldm.com:8081/Admin?method=login
http://log.heraldm.com/login/loginForm.tsp
http://adw.heraldm.com/
http://cms.danawa.com/session/login.php
http://s.biz.daum.net/adminform.daum
nxerp.nexon.co.kr
http://ot.ytn.co.kr/FrmLogin.aspx
http://mis.ytn.co.kr/subtop/login.asp
http://newsys.ytn.co.kr/
http://m.sportsseoul.com/admin/toto/login/login.jsp
http://erp.sbs.co.kr/erp/
http://shop.golf.sbs.co.kr/scmadmin/login.php
http://adminkt001.olleh.com/
http://homehub.olleh.com/cgi-bin/login_cgi
http://bts1.nhncorp.com/nhnbts/login.jsp
https://hrlove.nhncorp.com/sso/login.jsp
http://mail.nhncorp.com/login
http://iims2.nhncorp.com/adminPM/Login.nhn
https://nsec.nhncorp.com/
https://eiims2.nhncorp.com/adminPM/Login.nhn
https://pubsec.nhncorp.com
http://cms.newsis.com/
http://mail.newsis.com/
https://neoin.neowiz.com/member/login.nwz
http://webmail.mt.co.kr/
http://rms.mgamecorp.com/index.php
http://pdfadmin.kukinews.com/kmib/login/login.asp
http://desk.kukinews.com/web_desk/login/login.asp
https://remote.korail.com/web/login.jsp
http://mail.korail.com/index.jsp
http://nkoreanet.kbs.co.kr/admin/
http://ncc.kbs.co.kr
http://radiotest.kbs.co.kr/admin/radiolg.php
http://erpap1.kbs.co.kr:8001
http://admin.imnews.imbc.com/login.jsp
http://poptv.imbc.com/admin/_POPTVAdminMng.aspx
http://www.hankyung.com/dic/admin/login.php
http://webadmin.hankyung.com/
http://hkms.hankyung.com/
http://nms.hani.co.kr/admin/login.php
http://nuri.hani.co.kr/hanisite/dev/login/login_process.html
http://bridge.hani.co.kr/Hani/User
http://admin.hani.co.kr/
http://hantoma.hani.co.kr/
http://admin.halfclub.com/Login/Login.aspx
http://scm.halfclub.com/
http://pims.freechal.com/
http://mail.freechal.com/Mail/FWAccRepair.asp
http://adsrv2.dt.co.kr/banner/banner/Login.html
http://adsrv1.dt.co.kr/banner/banner/Login.html
http://ciis.chosun.com
http://newmail.chosun.com
http://eip.chosun.com/nanum/flow/admin/
http://mail.chosun.com/cgi-bin/index.cgi
https://scoop.chosun.com/
http://inato2.chosun.com
http://mail.cbs.co.kr/cgi-bin/index.cgi
http://www.cbs.co.kr/cbsboard/2006/admin/
https://www.cbs.co.kr/newadmin/login.aspx
http://mail.asiae.co.kr/
 
국내 유명 사이트의 관리자 페이지 정보를 수집 시도하는 악성파일이 등장했기 때문에 해당 기업들은 공개되어 있는 관리자 페이지의 접근제어 보안을 강화하거나 노출된 관리자 페이지의 정보를 수정하는 노력이 필요하다.
 
잉카인터넷 대응팀 문종현 팀장은 “가능하다면 관리자 페이지의 경우 기업 내부에서만 접근할 수 있도록 조치하고 아이디 암호는 수시로 변경하는 보안정책 수립도 요구된다”며 “보안 취약점에 의해서 악성파일이 다수 전파되고 있으므로 운영체제와 각종 응용프로그램은 항시 최신버전으로 유지하는 기본적인 보안수칙 준수가 필요하다”고 조언했다.
 
<보안 관리 수칙>
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
 
데일리시큐 길민권 기자 mkgil@dailysecu.com