지난 3월 11일 기상정보 제공 사이트인 케이웨더(Kweather) 사이트가 악성코드 유포 통로로 이용되고 있는 모습이 빛스캔이 운영하는 PCDS(Pre-Crime Detect System)에서 확인되었다. 특히 케이웨더는 지난 2월에도 주요 악성코드 유포 통로로 이용되는 이력이 있으며, 지속적으로 이용되는 상황을 토대로 관련 서버를 공격자가 권한 등을 탈취한 것으로 추정할 수도 있다.

 
빛스캔(대표 문일준) 관계자는 최근 웹사이트 변조는 대부분 악성코드를 유포하기 위해 악성링크를 삽입하는 형태를 보이고 있으며 그 중에서도 모든 페이지에 사용되는 공용 모듈 파일에 자주 발생하고 있다“며 ”더욱 우려되는 점은 현재도 케이웨더 사이트를 접속할 때마다 악성페이지로 연결되고 있지만 구글 스탑배드웨어 등 URL 차단 솔루션에서는 경고를 하지 않는 모습도 관찰되고 있어 많은 주의가 필요한 상황“이라고 밝혔다.
 
비록 현재는 악성링크가 추가적인 행동을 하지 않고 있지만 내부의 권한이 있는 공격자가 언제든지 악성링크를 새롭게 바꿀 수 있어 빠른 대처가 있지 않는다면 피해는 케이웨더를 접속하는 사용자에게 돌아 갈 수밖에 없다.
 
빛스캔이 제공한 케이웨더 악성코드 유포이력은 아래와 같다.
 
악성코드 유포 02월 21일 1시경
kweather.co.kr/xxxxxxxx/jwplayer.js (악성코드 유포 통로)
→ www.hxxxxx.co.kr/swf/news.html (악성코드 경유지)
→ www.woxxxxxx.co.kr/upload/award/x/index.html (악성코드 유포지)
 
공격에 사용된 자동화 도구는 Gondad Exploit Kit이 사용되었으며 이용되는 취약점으로는 Java 7종 IE 1종, Adobe Flash 취약점 1종이 사용되었다. 게다가, 악성링크를 통해 다운로드 되는 바이너리는 기존의 파밍과 백도어 기능의 이외에도 추가적으로 C&C 서버와 통신을 통해 명령을 주고받는 시도를 하는 등 이전과 다른 움직임이 계속 포착되고 있어 주의가 필요한 상태다.
 
빛스캔 관계자는 “웹서비스를 통한 악성파일의 대량 유포와 감염은 매주 마다 영향력 있는 서비스를 대상으로 확대를 시도하고 있다. 모든 웹서비스 방문자들이 접속만 하면 감염이 발생될 수 있는 상황에서 위험은 계속 확대될 뿐”이라며 “웹서비스에 대한 보호와 보안대책 적용을 상시적으로 운영 하는 대책들이 있어야 현재 악성코드의 범람현상을 조절 할 수 있게 될 것”이라고 말했다.
 
빛스캔에서는 3월 2주차 현재 악성코드 감염 시도가 급증함에 따라 한국 인터넷 위협레벨을 “경고”단계로 상향하고 위험요소의 적극적인 해소를 위해 지속적으로 노력하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com