최근 쇼핑몰부터 언론사까지 다양한 사이트에서 악성코드의 유포가 활발히 이루어지고 있는 가운데 최근 다수의 파일공유(P2P) 사이트를 통해서 악성코드의 유포가 지속적으로 이루어지고 있다. 특히 3월 1주차부터는 그 동안 나타나지 않았던 파일공유(P2P)까지 확대되었으며 현재 매우 심각한 상황이다.
빛스캔 관계자는 “단순하게 파일공유 사이트를 통해 유포되는 것이 아니라 여러 개의 웹사이트에 악성코드 유포에 활용하는 다단계망(MalwareNet)과 결합되어, 파괴력이 증가하고 있으며, 이러한 통로를 차단하지 않는다면 피해는 기하급수적으로 늘어 날 수밖에 없는 상황이다”라고 경고했다.
베가디스크는 2월초부터 매주 주말기간에 악성코드의 유포 통로 역할을 하고 있으며 최근 6주간 끊임없이 악성코드 유포에 활용되었다. 이러한 문제를 해결하기 위한 노력을 기울이지 않는 다면 계속 악성코드 유포 통로로 활용될 수밖에 없는 상황이다.
피디팝 사이트는 3월 1일∼3월 4일까지 악성코드 유포통로로 이용되었으며 이용기간 동안 총 3번의 악성링크가 변화하는 모습을 보였다. 특히, 2차 유포확인 시점 이후부터는 모두 같은 악성파일 바이너리를 다운로드하기도 했다.
공격자는 악성링크 삽입시 일반 사용자가 모르게 숨겨놓는 경우가 대부분지만 지난 주말 티디스크와 오디스크에서는 공격자가 심어놓은 악성링크 소스가 그대로 메인 홈페이지에 노출되는 모습이 이례적으로 관찰되었다. 사이트의 소스가 변경되어 사용자에게 노출되었음에도 불과하고 현재까지도 두 사이트에서는 같은 현상이 계속 발생되고 있는 상태이다. 특히, 이 두 사이트 모두 메인페이지에서 소스링크가 노출되었고 같은 악성코드 유포지로 연결되는 것을 보았을 때 동일 공격자의 소행일 가능성이 높다고 보여진다.
파일사이트를 통한 공격에는 공다팩(Gondad Pack)과 카이홍(Caihong) 공격도구가 사용된 것으로 확인되었으며 특히, 카이홍(Caihong) 공격도구는 기존 6개의 취약점을 이용하였지만 최근 8개의 취약점을 이용하는 것으로 확인되었으며 활용하는 취약점의 숫자가 늘어난 만큼 완벽한 보안패치가 이루어지지 않은 사용자라면 언제든지 감염이 될 수 있는 위험한 상태이다. 추가적으로 악성코드 유포지에서 최종적으로 다운로드한 악성 파일은 대부분이 파밍용 악성코드로 확인되었다.
또한 최근에는 악성코드를 유포하기 위한 링크를 웹사이트의 공용 모듈에 삽입하는 형태가 종종 나타나고 있다. 공용 모듈이란 웹사이트 시작페이지, 내부 페이지, 등 모든 페이지에 공통적으로 사용되는 .html 또는 .js 파일을 의미하며, 공격자가 공용 모듈에 링크를 삽입함으로써 어느 페이지를 방문하더라도 감염시도를 하게 되는 장점을 가진다.
빛스캔 관계자는 “취약한 웹 사이트에서 내에 삽입되어 있는 악성링크(비정상링크)에 의해 대량으로 유포되는 문제점을 해결하지 않는 한 이러한 공격을 차단하기 어려운 상황”이라며 “또한 새로운 공격이 지속적으로 발생하기 때문에 전체 범위를 모니터링 하고 사전탐지 하지 않은 이상 예측이 힘들 수밖에 없다”고 말했다.
데일리시큐 오병민 기자 bmoh@dailysecu.com
