포털 다음(DAUM)에서 운영하는 게임, 마계전설 사이트가 악성코드 유포지로 악용된 정황이 12월 21일 빛스캔에 의해 확인됐다. 해당 사이트를 방문하는 사용자에게 악성코드를 감염시킬 수 있었던 것으로 추정되며 타 사이트를 공격하는 악성링크로 직접 활용되어 더욱더 심각한 상황인 것으로 조사됐다.
 
빛스캔 관계자는 “해당 사이트는 무료 웹방화벽을 이용하고 있었으며 공격자는 이를 우회해 해킹한 것으로 추정되며 권한 획득 등을 통해 악성코드를 유포하는 방식을 사용했던 것으로 추정된다”고 설명했다.

 
보안수준이 높은 것으로 알려진 포털사의 도메인을 사용하고 있음에도 불구하고 공격자에 의해 권한획득은 물론이고 악성코드 감염과 악성코드 유포에 이용되었다는 정황은 현재 국내 인터넷 환경을 대상으로 하는 공격의 심각성을 보여주는 단면이다.
 
사업다각화를 위해 게임 및 여러 분야로 확장을 하는 특성상 웹서비스에 대한 관리의 중요성은 무엇보다 중요한 사안이라 할 수 있다. 서비스 사용자에 대한 직접적인 악성코드 감염은 서비스에 대한 신뢰도를 떨어뜨릴 수밖에 없다. 특히 게임의 경우에는 해당 게임의 데이터베이스와도 직접 연동이 되는 상태이므로 개인정보 유출, 게임 아이템 도난 등의 추가적인 피해가 발생될 가능성도 높기 때문에 사고 대응시 충분한 검토와 주의를 기울여야 한다.
 
빛스캔 분석 내용에 따르면, 공격자가 권한을 획득한 대상은 다음포털 내의 마계전설 게임 서비스다. 해당 웹서비스를 방문한 사용자들이 악성코드 감염에 노출된 것이다. 특히 타 사이트에서도 해당 서비스의 악성링크가 활용되어 악성코드 유포에 이용된 정황도 파악되었다.
 
1차 발견 시점은 지난 12월 21일 오전 01시 13분이며 2차 발견은 12월 21일 오후 1시경이다.
 
악성코드 유포 통로로 사용된 경유지 정보는 ‘mysize.co.kr/html/ss.js’이며 경유지와 유포지로는 ‘ma.game.daum.net/castle-php/mm/index.html’로 조사됐다. 최종 다운로드 링크 및 바이너리는 ‘67.198.138.181:801/smss.exe’이다.
 
빛스캔 관계자는 “웹 사이트 내에 삽입되어 있는 악성링크에 의해서 악성코드가 드라이브 바이 다운로드 즉 자동으로 실행된다. 해당 악성링크에서 내려오는 난독화된 악성코드를 분석하면 Java 7종, IE 1종, Flash 1종 총 9종의 취약성에 의해서 감염이 이루어 졌으며, 감염 이후 스케줄러에 의해 추가적으로 다운로드 되는 악성코드는 원격으로 조정이 가능한 백도어 및 금융 개인정보를 탈취하기 위한 파밍 사이트로 유도하는 것으로 분석되었다”며 “즉 감염 즉시, 사용자 PC의 모든 권한은 공격자에게 이미 넘어 갔다고 봐야 한다. 공격성공률이 높은 상황에서 악성코드 유포 기간내의 서비스 방문자는 감염 가능성을 심각하게 의심해야 할 것”이라고 조언했다.
 
더불어 “취약한 웹 사이트의 문제를 해결하고 위험성이 일상적으로 관리되지 않는다면 문제는 계속 될 수밖에 없다. 또한 한국인터넷의 경우 대규모 악성링크에 의해 대량감염 되는 문제점을 해결하지 않는다면 악성코드로 인한 문제의 해결은 어렵다고 볼 수 있을 것”이라고 밝히고 “공격은 매우 빠르고 신속하게 진행되는 형태로 변화되고 있고, 매주 발견되는 신규 악성링크의 유포 행위 또한 매주마다 변경되기 때문에 전체범위를 모니터링 하고 사전탐지 하지 않은 이상 위험에 대해 대비하는 것은 어려울 수밖에 없다”고 주의를 당부했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com