국내 최대 기독교 단체인 여의도순복음 교회에서 또 다시 악성코드 유포가 이루어져 해당 사이트를 이용하는 많은 신도들의 PC가 악성코드 감염에 노출되고 있다. 또 모 보안매체에서도 반복적으로 악성코드 유포가 이루어진 정황이 확인돼 근본적인 대책이 필요한 상황이다.
 
빛스캔(대표 문일준) 측은 지난 주 여의도순복음 교회 웹사이트에서 악성링크 유포에 활용되었던 정황을 포착하고, 관련 자료를 공개한 적이 있으며, 교회 측에서는 홈페이지에 사과문을 게재해 악성코드 유포가 있었다는 점을 시인하고 대응에 최선을 다하겠다고 밝힌바 있다.

 
하지만 대응조치에도 불과하고 지난 3월 1일부터 3월 2일까지 이틀간 총 4차례 악성링크가 유포되는 정황이 다시 포착되었다. 특히 웹사이트를 방문해 어떤 페이지로 이동하더라도 항상 실행되는 자바스크립트인 공용파일에 모두 4번 악성링크가 삽입된 것으로 빛스캔 조사결과 밝혀졌다. 상세한 유포 상황은 아래와 같다.
 
유포 확인 시점 - 2014.03.01.20시경
fgtv.com/fgtv/xxxxxx_js/x_x.js (악성코드 유포 통로)
→ jaeseopark.com/pop/index.html (악성코드 유포지)
 
유포 확인 시점 - 2014.03.01.22시경
fgtv.com/fgtv/xxxxxx_js/x_x.js (악성코드 유포 통로)
→ han-xxx.com/pop/index.html (악성코드 유포지)
 
유포 확인 시점 - 2014.03.02.15시경
www.fgtv.com/xxxxxx_xxx_xx/xxxxxx.js (악성코드 유포 통로)
→ dnxxx.net/pop/index.html (악성코드 유포지)
→ berlinreport.com/xxxx/xxxx/50Jahre/b.exe (최종파일)
 
유포 확인 시점 - 2014.03.02.17시경
www.fgtv.com/xxxxxx_xxx_xx/xxxxxx.js (악성코드 유포 통로)
→ donghwatextile.com/pop/index.html (악성코드 유포지)
→ berlinreport.com/xxxx/xxxx/50Jahre/b.exe (최종파일)
 
지난 번과 마찬가지로 공격에는 공다(Gongdad)팩이 사용되었으며, 이를 활용하는 취약점은 모두 9개, 자바 7종, IE 1종, 플래시 1종 등이 사용됐다. 추가로 다운로드되는 악성 바이너리는 금융 정보 유출을 노린 파밍 공격과 백도어 기능을 가진 트로이목마 유형으로 분석됐다. 특히, 트로이목마는 C&C 서버와 지속적인 연결 및 명령을 주고받는 형태이므로, 추가적인 공격이 발생할 수 있는 여지가 있으며, 악성 파일 자체도 백신을 우회할 수 있도록 제작 및 유통되므로 개인 사용자의 피해가 우려된다.
 
빛스캔 관계자는 “악성코드 유포에 활용되는 웹사이트 변조 사고의 대응을 위해서는 문제를 해결하기 위해서는 웹서버의 보안, 즉 웹 취약점을 해결해야 한다는 점은 널리 알려져 있다”며 “하지만 웹서버에 숨겨둔 백도어 등도 있기 때문에, 악성코드 유포에 활용된 웹서버에 대해서는 소스 뿐만 아니라 서버의 보안까지도 충분히 검토하여 문제를 해결할 필요가 있다”고 강조했다. 또한 다음과 같은 해결방안을 권고했다.
 
1. 로그 분석 및 대응: 웹로그 분석을 통해 공격에 사용된 취약점을 확인하고, 그 부분에 대한 소스 수정 등을 통해 해결한다.
 
2. 웹쉘 대응: 공격자는 이미 서버에 웹쉘과 같은 백도어를 심어둘 가능성이 높다. KISA가 제공하는 휘슬, 또는 상용으로 판매되는 웹쉘 탐지 솔루션을 적용하여 대응한다.
(휘슬: toolbox.krcert.or.kr/MMVF/MMVFView_V.aspx?MENU_CODE=14&PAGE_NUMBER=15)
 
3. 서버 모니터링: 서버에 악성코드 또는 백도어를 설치하여 원격에서 제어할 수 있도록 하는 경우, 서버의 로그와 프로세스 등을 면밀히 확인하여 문제점이 발견될 경우 제거 및 치료해야 한다. 여유가 된다면, 서버를 포맷하는 방법도 있다.
 
이와 별개로, 웹서버에 대한 대부분의 공격은 자동화된 공격툴을 통해 SQL Injuction이나 File Inclusion 등 웹취약점을 이용해 공격을 시도하고 공격이 성공하게 되면 추가적으로 서버(DB)를 빼내거나 악성코드 유포에 활용하게 된다. 따라서 웹사이트의 컨텐츠가 바뀌는 경우 웹 소스를 필수적으로 점검해야 하며, 적어도 3개월에서 6개월에 한번씩은 점검을 해야 한다.
 
빛스캔 관계자는 “여의도순복음교회 뿐만 아니라 다른 사례에서도 악성코드 유포 사고가 지속적으로 반복되는 이유는 바로 단순히 삽입된 악성링크를 제거만 하고 추가적인 대응을 하지 않는 경우가 대부분이다. 앞서 언급한 대응 방안을 이용한다면 충분히 예방이 가능할 수 있을 것”이라고 강조했다.
 
특히 얼마전 특정 보안매체가 주말에 악성코드를 유포한 사례도 있다. 그 전주에도 악성코드 유포가 이루어져 사과문을 발표하고 조치를 취한다고는 했지만 결국 다음주 말에 다시 악성코드 유포가 이루어졌다. 근본적인 대책을 마련하지 않았던 것이다.
 
2월 3주차부터 급격한 악성코드 유포 행위가 발생함에 따라 빛스캔에서는 인터넷 위협 수준을 4단계 “경고”로 상향 조정하고 모니터링을 강화하고 있다. 또한 위협 감소를 위해 주요 이슈에 대해서는 계속 환기시킬 예정이다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com