2024-05-26 21:30 (일)
OBS 경인방송사이트 악성코드 유포에 악용돼
상태바
OBS 경인방송사이트 악성코드 유포에 악용돼
  • 길민권
  • 승인 2014.03.11 17:52
이 기사를 공유합니다

빛스캔 “방송 컨텐츠, 내부 DB 등 유출됐을 가능성 배제할 수 없어”
경인방송 OBS를 통해 악성코드가 유포된 정황이 3월 8일에 확인됐다. 빛스캔(대표 문일준) 측은 “해킹으로 인해, 해당 웹서비스를 방문하는 사용자에게 악성코드가 감염될 수 있었고, 타 사이트를 공격하는 악성링크로 직접 활용되어 더욱 심각한 상황”이라며 “공격자는 권한 획득 등을 통 악성코드를 유포하는 방식을 사용했었을 것으로 추정되며 그 외에도 2차적으로 방송 컨텐츠, 내부 DB 등이 유출됐을 가능성도 배제할 수 없다”며 해당 사이트 관리자의 보안조치를 촉구했다.

 
빛스캔 분석에 따르면, 경인방송은 지난 2013년 11월 악성링크의 비정상적인 움직임이 확인 되었을 당시에 유포한 이력이 있었다. 특히 방송사를 통한 악성코드 유포는 지난 3.20 사이버대란 이전과 사건이 나타나기 이전에 언론, 방송사 웹 서비스를 통해 악성코드 사례가 발견된 사례가 있어서 더욱 주의가 필요한 상황이다. 또한 11월 이후 오랜 기간 나타나지 않았지만 최근에 다신 등장한 것은 매우 이례적이며 악성링크를 통해 다운로드 된 악성파일은 국내 백신만 우회되고 있어 더욱 심각한 상황이다.
 
보다 자세히 살펴보면, 공격자는 OBS 경인방송 사이트 내부의 악성링크를 삽입해 사이트를 방문하는 사용자에게 노출시켜 보안에 취약한 사용자에 대해 악성코드 감염을 유발했다. 특히, OBS에 사용되었던 악성링크는 사이트에서 공통적으로 쓰이는 공용 모듈 내부에 삽입되어 어느 페이지로 접속을 하든 사용자가 감염될 수밖에 없는 상태이며 OBS에 사용된 악성링크는 타 대형 사이트에서도 활용되는 점이 포착됐다.
 
<유포 확인 시점-2014년 3월 8일 23시경>
www.obs.co.kr/js/slides.min.jquery.js (악성코드 유포 통로)
→ yc68.org/pop/index.html (악성코드 유포지)
→ berlinreport.com/data/file/ssien.exe (최종파일)
 
웹 사이트 내에 삽입되어 있는 악성링크에 의해서 악성코드가 “drive-by-download” 즉 자동으로 실행 되어, 해당 악성링크에서 내려오는 난독화된 악성코드를 분석하면 총 9종류(Java 7종, IE 1종, Flash 1종)의 취약성에 의해서 감염이 이루어 졌다.
 
빛스캔 관계자는 “감염 이후 스케줄러에 의해 추가적으로 다운로드 되는 악성코드는 원격으로 조정이 가능한 백도어 및 금융 개인정보를 탈취하기 위한 파밍 사이트로 유도하는 것으로 분석되었다”며 “즉 감염 즉시, 사용자 PC의 모든 권한은 공격자에게 이미 넘어 갔다고 봐야 한다. 공격성공률이 높은 상황에서 악성코드 유포 기간내의 서비스 방문자는 감염 가능성을 심각하게 의심해야 할 것”이라고 밝혔다.
 
더불어 “취약한 웹 사이트의 문제를 해결하고 위험성이 일상적으로 관리되지 않는다면 문제는 재발될 수밖에 없다. 또한 한국인터넷의 경우 대규모 악성링크에 의해 대량 감염되는 문제점을 해결하지 않는다면 악성코드로 인한 문제의 해결은 어렵다”며 “공격은 매우 빠르고 신속하게 진행되는 형태로 변화되고 있다. 매주 발견되는 신규 악성링크의 유포 행위 또한 매주마다 변경되기 때문에 전체범위를 모니터링 하고 사전탐지 하지 않은 이상 위험에 대해 대비하는 것은 어려울 수밖에 없는 것이 지금의 상황”이라고 진단했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★