지난 2월 11일, ‘크리스천XXX’(일부 X표기)라는 종교 전문 언론사 웹사이트가 해킹을 당해 해당 웹사이트를 방문하는 사용자들에게 악성코드가 자동으로 유포되고 있다는 것이 포착됐다. 드라이브-바이-다운로드(DBD, Drive-by-download) 공격 방식으로 밝혀졌으며, 취약한 환경에 있는 방문자들이 방문만 해도 바로 악성코드에 감염되는 심각한 상태였다. 해당 사이트에 방문한 많은 종교인 PC들에 악성코드 감염이 우려되는 상황이다.
 
크리스천XXX는 2000년 7월경에 창간된 종교 매체로, 한국 기독교를 대표하는 초교파 미디어 그룹이다. 온/오프라인 신문을 운영하고 있으며 온라인에서는 실시간 업데이트 체제를 갖추고, 기독교 전 분야에 걸쳐 심층보도를 함으로써 기독교를 넘어 종교신문 분야를 통틀어 영향력있는 신문으로 인정받고 있다. 랭키닷컴에 따르면 종교신문 카테고리에서 1위를 차지하고 있으며 주간 약 61만 페이지뷰를 기록하고 있다.

 
<유포 확인 시점 - 2014.02.11.14경
tommeetippee.0to7.com/customer_center/privacyfamily.html (악성코드 유포 통로)
→christiantoday.co.kr/hidden_comment.htm (악성코드 유포지)
→103.30.4.6/confg.exe (최종 바이너리)>
 
해당 악성코드 공격을 발견하고 리포트한 빛스캔(문일준 대표) 측은 “공격에는 Gongdad Exploit Toolkit이 사용된 것으로 분석되며, 이 공격킷은 자바 7종, IE 1종, Adobe Flash 1종의 취약점을 활용하고 있어, 완벽한 보안 패치가 되지 않는 방문자는 바로 악성코드에 감염될 수밖에 없다”고 밝히고 “최종 다운로드되는 악성 파일을 추가 분석한 결과 금융 관련 개인정보 유출에 활용되는 파밍과 백도어(원격 제어) 기능을 가진 것으로 확인되었다”고 설명했다.
 
또 “만약 PC 사용자가 악성코드에 감염되었다면, 그 컴퓨터는 좀비 PC일 뿐만 아니라 이미 공격자가 모든 권한을 가지고 좌지우지할 수 있는 심각한 상황이라고 봐도 무방할 정도”라며 “개인 사용자들에게는 파밍으로 금전적인 피해를 입히게 되고 기업이나 기관내의 감염자들은 정보유출과 추가 침입의 통로로 이용이 될 수밖에 없다. 자바와 Flash의 경우 업데이트 관리가 용이하지 않은 상황임을 감안 한다면 웹 서핑이 가능한 모든 PC 자원에서 감염 가능성을 상시적으로 가지고 있다”고 경고했다.
 
한편 올해도 악성코드 공격자는 작년과 같이 웹을 통한 대량 감염 형태의 공격형태가 계속 발생될 것으로 전문가들은 보고 있다. 지난해 발견된 여러 문제들에 대해 근본 원인과 꾸준한 관리방안들에 대한 충분한 검토와 이에 따른 대응책을 준비하지 않는다면 올해도 국내에서는 웹을 통한 감염이 지속적으로 이어질 수밖에 없다. 또한 최근 발생한 2천여 만 명의 금융 관련 정보 유출과 함께 활용된다면 선량한 많은 PC 이용자들의 피해가 기하급수적으로 증가할 것으로 예상하고 있다.
 
빛스캔 측은 이러한 문제를 해결하기 위해서는 다음과 같은 방안이 필요하다고 강조한다.
 
웹 서버에는 대부분 DB와 연동이 되어 있어 공격자는 대부분 DB 탈취를 목적으로 한다. 하지만 최근에는 DB보다 악성코드를 유포하기 위한 매개체로 활용하는 경우가 늘고 있다. 따라서 운영 중인 웹 서비스에서 악성코드 유포에 활용되는 URL을 탐지하는 방안을 고려해야 한다. 특히 최근에는 파밍과 같이 금융 관련 범죄를 노리는 악성코드를 유포하는데 활용되는 사례가 많다는 것.
 
웹 서버의 운영은 기업이나 조직이 손쉽게 개인이나 방문자에게 정보를 제공하고 또는 개인정보를 넘겨받아 활용하는 등 손쉽게 운영이 가능하다. 하지만 앞에서 기능에만 충실하고 보안에 대해 간과하는 경우 개인정보 유출, 악성코드 유포 등 방문자에게 치명적인 피해를 줄 수 있다는 점에서 웹 서버 관리자 및 보안 관리자는 보다 많은 관심과 노력을 기울일 필요가 있다.
 
즉, 취약한 웹 사이트의 문제를 해결하고 위험성이 일상적으로 관리되지 않는다면 문제는 계속 될 수밖에 없다. 또한 한국인터넷의 경우 대규모 악성링크(비정상링크)에 의해 대량감염 되는 문제점을 해결하지 않는다면 악성코드로 인한 문제 해결은 어려운 실정이다.
 
전상훈 기술이사는 “공격은 매우 빠르고 신속하게 진행되는 형태로 변화되고 있고, 매주 발견되는 신규 악성링크의 유포 행위 또한 매주마다 변경되고 있다”며 “전체범위를 모니터링 하고 사전탐지 하지 않은 이상 위험에 대해 대비하는 것은 어렵다”고 조언했다.
 
빛스캔은 웹사이트를 통해 악성코드에 감염될 수 있는 악성링크를 탐지 및 분석하는 체계를 운영해 국내 180만개, 해외 30만여 개의 웹 서비스에 대해 상시적인 악성코드 유포를 모니터링 하고 있다. 또 사전위협 탐지 체계를 갖추고 매주 수요일 한 주간의 공격과 위협, 공격코드의 구성과 악성파일의 유형, 자주 이용되는 취약성에 대해서 보고서 형태로 정보를 제공하고 있으며, 누적된 DB를 활용하여 차단 장비 및 보고서를 제공하고 있다. 그리고 웹 취약점을 온라인으로 진단할 수 있는 비트스캐너도 운영 중이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com