2월 중순부터 시작된 악성코드의 비정상적인 움직임은 3월에도 지속되고 있다. 3월 2주차 파일공유(P2P), 방송국, 언론사 등을 통해 악성코드 유포는 지속되고 있다. 특히 공격자는 주말기간 악성링크 삽입 시 그에 따른 대응이 늦는다는 점을 이용해 악성코드를 집중적으로 유포하고 있다. 대부분 월요일을 맞이하면서 악성코드 유포가 중지되고 있지만, 실제적으로 웹사이트에 악성링크의 흔적이 남아 있는 듯 실제로 적절한 대응이 되지 않는 심각한 상황이 지속되고 있다.

 
빛스캔(대표 문일준) 측은 “3월 7일부터 3월 9일까지 아시아뉴스통신 홈페이지에서 악성코드를 유포하는데 활용되는 악성링크가 삽입되어 있는 것을 확인했다”며 “3일 동안 총 5차례의 악성링크가 바뀌는 모습이 확인되었으며 그 중 일부는 다단계유포망(MalwareNet)의 성격을 가진 것도 있었다. 악성링크가 5차례나 변경이 되었지만, 제대로 된 대응이 이루어지지 않았다. 무주공산인 가운데, 공격자는 짧게는 4시간에 한번 길게는 12시간에 한번씩 악성링크를 변경함으로써 백신과 같은 차단 솔루션을 회피하려는 움직임도 관찰되었다”고 설명했다.
 
공격에는 공다팩(Gondad Pack) 공격도구가 사용된 것으로 확인되었으며 공다팩은 9개의 취약점을 가지고 있어서 보안 패치를 완벽하게 하지 않는 경우에는 감염될 수밖에 없는 상황이다. 게다가 다운로드되는 실제 악성코드를 분석한 결과 파밍에 관련된 것으로 확인되어, 최근 금융 피해 사례 및 개인정보 유출에 결부되어 사용자에게 추가적인 피해를 입힐 가능성이 높다. 특히, 공격 방식은 더욱더 교묘하여, 사이트에서 모든 페이지에서 공통적으로 호출하는 웹소스 내에 악성링크를 추가함으로써 감염률을 극대화하고 있는 것으로 확인되었다.
 
빛스캔 관계자는 “최근 악성코드가 많이 뿌려지고, 확산되는 원인은 취약한 웹 서비스이며, 실제 PC 이용자 대다수가 이용하는 서비스가 웹서비스로, 웹서비스를 통해 악성코드가 유포된다는 점은 심각한 상황임을 말해준다”며 또한 “공격자는 탐지를 우회하기 위해 수시로 악성링크를 변경하고 있고 대응하기 전에 다른 악성 링크 및 악성코드를 지속적으로 변경하기 때문에 대응 자체도 쉽지 않다. 따라서 웹사이트 내의 컨텐츠에서 악성 링크를 탐지하고 관련된 추가 정보를 빠르게 분석 대응하는 체계를 갖춰야만 웹 서비스를 이용하는 사용자들을 보호할 수 있을 것”이라고 밝혔다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com