지난주부터 택배사 배송페이지를 포함한 다양한 직종의 사이트가 악성 링크의 유포지로 나타나고 있는 가운데 3월 1주차에는 소셜 쇼핑몰인 ‘온투데이’를 통해 악성 링크가 유포되는 정황이 포착됐다. 특히 소셜 쇼핑몰은 공동구매 방식으로 이루어지기 때문에 특정 이벤트기간이나 주말기간 동안에 방문자가 일시적으로 몰리는 현상이 발생하고 있다. 공격자는 이를 이용해 주말기간에 걸쳐 악성코드를 유포지로 집중 활동하고 있는 상황이다.
 
빛스캔(대표 문일준) 측은 “지난 3월 2일부터 3월 5일까지 온투데이 관련 페이지에서 악성코드를 유포하는데 활용되는 악성링크가 삽입되어 있는 것을 확인했다”며 “3월 5일 오후까지도 간헐적으로 악성 링크가 유포되고 있는 상황이다. 최근 등장한 악성코드 유포 이슈는 대부분 메인 웹서비스에 연관된 파일을 변경하는 형식으로 발생 되고 있다”고 설명했다.

 
온투데이는 3월 2일부터 5일까지 약 3회에 걸쳐 악성링크를 유포한 이력이 확인되었으며 그 중에는 다단계유포망(MalwareNet)의 성격을 가진 악성링크도 한차례 삽입 되었던 것으로 확인되었다.
 
빛스캔 분석 결과 온투데이 악성코드 유포 정황은 아래와 같다.
 
1차 유포확인 시점 – 3월 2일 19시경
www.on2day.co.kr/xxxxxx/xx/index.js (악성코드 유포 통로)
→ sz3.xxx.co.kr/css/m.html (악성코드 유포지)
 
2차 유포확인 시점 - 3월 5일 7시경
www.on2day.co.kr/xxxxxx/xx/jj_.js (악성코드 유포 통로)
→ coaxxxxx.com/css/w.html (악성코드 유포지)
→ www.ktvxxxxx.co.kr/css/index.html (악성코드 유포지)
→ www.ktvxxxxx.co.kr/ssh/win.exe (최종 파일)
 
3차 유포확인 시점 - 3월 5일 21시경
www.on2day.co.kr/xxxxxx/xx/jj_.js (악성코드 유포 통로)
→ www.superxxxxx.co.kr/css/index.html (악성코드 유포지)
→ www.superxxxxx.co.kr/new/xx.exe (최종 파일)
 
공격에는 공다팩(Gondad Pack)과 카이홍(Caihong) 공격도구가 사용된 것으로 확인되었으며 공다팩은 9개의 취약점을 카이홍은 8개의 취약점을 가지고 있어서 보안에 완벽하지 않은 사용자라면 감염될 수밖에 없는 상황이다. 추가적으로 악성코드 확인 결과 금융정보를 타깃으로 한 바이너 파밍 악성코드로 확인되었다.
 
또한 소셜 쇼핑몰인 ‘쿠폰브리지(Coupon Bridge)’에서도 3월 2일에 악성코드 유포에 활용되었다. 다만, 웹사이트에 포함된 파일에 악성링크를 삽입하는 방식이 아닌, 광고 페이지를 활용했다는 점이 색다르다. 특히, 광고페이지 같은 경우는 어느 사이트를 방문해도 나오는 화면이기 때문에 더 큰 문제가 될 수밖에 없다고 빛스캔은 설명한다.
 
빛스캔 관계자는 “최근 악성코드가 많이 뿌려지고, 확산되는 원인은 취약한 웹 서비스이며, 접점이 이루어 지는 부분이다. 탐지를 회피하기 위해 공격자들은 수시로 악성링크를 변경하고 있고, 웹 서비스 통해서 감염 확률을 높이고자 계속 뿌려지고 있기 때문에 대응은 느리고 효과는 즉시 발생하는 구조로 바뀐 지 오래라고 볼 수 있다”며 “따라서 웹사이트 내의 컨텐츠에서 악성 링크와 같이 비상적인 URL을 통해서 삽입되는 악성링크를 탐지할 수 있는 체계를 통해 서비스를 이용하는 사용자들을 보호할 수 있도록 고려 되어야 할 것”이라고 강조했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com