2024-03-28 17:30 (목)
악성코드 감염...“난 어학원사이트에 접속했을 뿐이고”
상태바
악성코드 감염...“난 어학원사이트에 접속했을 뿐이고”
  • 길민권
  • 승인 2014.01.23 06:18
이 기사를 공유합니다

국내 백신만 탐지 회피...접속자 상당수 감염 피해 우려
국내 대표적인 영어교육 사이트에서 지난해 12월 29일부터 1월 3일까지 악성링크가 삽입되어 모든 방문자들을 대상으로 악성코드 감염을 시도한데 이어 지난 16일 다시 악성코드 감염 시도가 포착돼 해당 사이트 접속자들은 악성코드 감염에 각별한 주의를 기울여야 한다. 또한 신속한 보안조치가 이루어져야 감염 피해 확산을 막을 수 있을 것으로 보인다.
 
빛스캔(대표 문일준)은 “해커스(hackers), 해커스 텝스(hackersteps) 등 국내 대표적인 어학 사이트에서 지난해 12월 29일부터 1월 3일까지 악성링크가 삽입돼 방문자 감염시도가 있은 후 이후 일시적인 소강상태를 보이다, 다시 1월 16일부터 다시 활발한 악성코드 감염에 이용되는 상황이 확인되었다”고 전했다.

 
해커스, 해커스 텝스 등에서 동시에 악성코드를 유포한 정황이 확인된 것이다. 현재까지도 악성코드의 유포는 꾸준하게 관찰되고 있으며 감염 비율이 높을 것으로 예상이 되고 있다.
 
감염에 이용되는 악성파일에 대해 바이러스 토탈(Virus Total)을 통해 백신 탐지 여부를 확인한 결과 미 보고된 악성파일도 포함이 되어있었으며, 알려진 악성파일조차도 국내 백신만을 탐지 회피하는 현상이 관찰됨에 따라 전형적인 국내 사용자들을 대상으로 한 감염으로 확인이 되고 있다.
 
악성링크가 자유자재로 웹서비스 소스에 추가가 된다는 것은 이미 서버에 대한 모든 권한을 공격자가 확보하고 있다는 점이다. 권한을 확보했다는 것은 내부 회원정보나 데이터베이스에 대한 대부분의 정보도 공격자가 보유하고 있다는 것과 동일하다고 볼 수 있다.
 
공격에 이용된 악성링크가 추가된 소스는 해커스 어학원 전체 서비스에서 사용이 되는 것으로 추정되는 공용 Js 파일부분도 있어서 피해 범위는 더 넓을 수도 있다.
 
대표적인 토익, 토플 사이트인 ‘해커스’의 한 주 방문자가 최대 1.8M(랭키닷컴 기준)에 숫자를 기록하고 있으며 영어 분야에서 1위를 기록하고 있는 사이트이다. 또한 악성링크가 유포된 12월 5주차는 연말연시에 구직자와 영어를 배우기 위해 방문자가 몰릴 것을 예상하고 유포를 시기를 조절 한 것으로 보이며, 실제로 12월 5주 최대 방문자가 방문한 것으로 기록되어 있다. 또한 인터넷강의에 대한 마케팅과 배너 광고를 이용한 홍보도 활발하게 하고 있는 상태에서 상대적으로 좀비 PC가 될 확률이 높은 상태라 할 수 있다.
 
12월 29일 해커스 잡(hackersjob)을 통해 비정상 링크 ad2.shoplinker.co.kr/xxx/xxx_cron.js가 삽입 되었으며 처음 유포가 확인된 시점이다. 1월 22일 현재까지도 악성코드 감염 시도가 해커스 학원의 주요 서비스들에서 간헐적으로 계속 되고 있는 것으로 확인 되고 있다.
 
방문자 PC의 공격에 직접 이용되는 악성링크 확인결과 난독화를 통해 암호화가 되어있었으며 최종적으로 Java 7종, IE 1종, Flash 1종류의 취약성을 공격하는 공다팩(Gondad Pack)으로 확인이 되었다.
 
이에 빛스캔 관계자는 “12월 29일 이 후 해커스는 계속 악성링크를 유포하는 유포지 역할을 하고 있으며 12월 31일에 발견된 악성링크는 Flash 링크를 이용하여 악성링크를 삽입한 정황까지 확인 된 상황”이라며 “Flash 코드까지 변조해 공격에 이용할 정도로 탐지를 회피하고 감염율을 높이기 위해 다양한 시도들을 실행하고 있는 상황에서 여전히 악성코드 감염의 숙주로 이용되는 상황은 국내의 좀비PC 확산에 우려를 가질 수밖에 없다”고 경고했다.
 
웹서비스 접속과 동시에 Java , IE ,Flash에 대한 공격이 발생되며, 공격이 성공하게 되면 금융정보 탈취를 위한 파밍과 원격에서 직접 조정이 가능한 백도어들이 계속 설치 되고 있다. 웹 서비스상에서 발생되는 악성코드 감염에 대해서는 구글의 Stopbadware에서도 모니터링을 하고 있으며, 시일의 차이는 있으나 악성코드 유포에 대한 경고를 하고 있음을 확인 할 수 있다.
 
해커스 사이트는 현재 익스플로러 외에 구글 크롬, 파이어폭스를 통해 접속하면 경고창을 통해 사이트 접근의 위험성이 나타나고 있다. 현재도 매주 2천에서 3천여 개의 웹서비스들이 반복적으로 악성코드감염을 위한 숙주로 활용되고 있다. 유포지로 활용되고 있다는 점은 이미 공격자에게 모든 권한이 넘어간 상태에서 원격에서 조정이 가능한 웹쉘이나 백도어들을 이용한 추가적인 피해도 발생될 수 있다는 점을 잊어선 안될 것이다.
 
웹서비스를 통한 악성파일의 대량 유포와 감염은 매주 마다 영향력 있는 서비스를 대상으로 확대를 시도하고 있다. 모든 웹서비스 방문자들이 접속만 하면 감염이 발생될 수 있는 상황에서 위험은 계속 확대될 뿐이다. 웹서비스에 대한 보호와 보안대책 적용을 상시적으로 운영 하는 대책들이 있어야 현재 악성코드의 범람현상을 조절 할 수 있게 될 것이다.
 
빛스캔 측은 “2014년 1월 3주차 들어서 악성파일 감염 범위가 확대되고 있는 상황에서 방문자가 많거나, 영향력이 높은 사이트들에 대한 공격과 감염시도는 증가한 상태가 관찰 되고 있다”며 “따라서 악성링크의 영향력 확대와 악성파일 감염이 증가되고 있는 상태에서 한국 인터넷 위협 관찰 수준을 “주의” 단계로 상향을 예정하고 있다“고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★