지난 2014년 3월 14일 23시경, 국내 유명 경제지 방송사이트 M사를 통해서 악성코드를 유포한 정황이 빛스캔(대표 문일준) PCDS에서 탐지되었다. 악성링크가 5단계에 걸쳐 복잡하게 구성되어 있어 탐지 등 우회목적이 있는 것으로 판단된다.
 
M사는 종합편성 케이블 TV 방송사로, 1993년 9월에 창립한 회사이며, 경제전문, 보도전문 채널을 포함하면 종합편성 케이블 TV 채널 가운데 가장 오래되었고, 유일하게 지상파 DMB방송 채널을 보유하고 있다. 방문자들은 언론/보도를 통해서 정보를 얻으려는 사람들이 대부분일 것으로 예상되며, 악성코드 감염시 금융 목적의 파밍 공격인 것으로 볼 때, 방문자들의 개인정보나 금융 정보를 노린 것으로 추정된다.
 
빛스캔 관계자는 “사용자가 윈도우 보안 패치를 최신으로 유지하더라도 자바나 플래시에 대한 패치가 완벽하지 않는 경우에는 악성코드에 감염될 확률이 높은 것으로 확인되었으며, 추가로 다운로드되는 악성파일에는 파밍 코드로 확인되었다”며 “또한 악성코드에 감염이 되게 된다면, 공격자는 사용자 PC에 대한 권한을 가지게 되므로, 추가적인 공격을 가할 수 있는 여지가 있다”고 설명했다.
 
웹사이트를 통한 악성코드 감염의 주요 원인은 보안이 취약한 웹사이트에 있으며 공격자는 이러한 웹사이트를 공격하여 권한을 장악한 후, 웹사이트 내에 악성링크 한 줄로 인해 대량으로 감염될 수 있도록 이용하고 있는 실정이다. 공격자는 사용자가 알 수 없도록 드라이브바이다운로드(Drive-by-download) 공격을 사용하기 때문에, 사용자 입장에서는 웹사이트를 방문하는 동안에 자신도 모르게 악성코드에 감염되게 되고 공격자의 의도대로 개인정보, 금융정보를 탈취할 수 있는 파밍 사이트로 이어질 수 있다고 업체 측은 설명한다.

 
아래는 최초 유포지부터 최종적으로 실제 공격코드까지 연결되는 구성도이다.
 
www.mxx.co.kr/xxxx/xxxx/xxxxxxxxxxxx.xxxx (최종 유포지-Mxx main)
fun.mxx.co.kr/xxx/xxxxx_xxxx_xxxx.xxxx (경유지4 - Mxx fun site)
211.242.127.74/xxxx/xxxxx/xx/xxx.xxx(경유지3 - Mxx)
www.duzonxxx.co.kr/xxx/xxx.html (경유지2-xxxx아카데미)
www.toroxxxl.com/xxxx/xxx/xxxx.html (경유지1- 실제공격코드)
 
웹사이트 내에 악성링크를 통해서 악성링크가 삽입되어 악성코드를 유포하는 정황들이 포착되었지만, 공격자는 탐지를 매우 어렵게 하는 등 공격자의 전략은 점점 치밀해 지고 있다. 시간차 공격과 멀티 스테이지 공격을 통해 동일한 바이너리를 다각적으로 유포하고 C&C주소를 재빠르게 바꾸는 등 탐지를 회피하고, 대량유포를 통해 감염 확률을 높이고 있는 상황을 확인 할 수 있다.
 
빛스캔 관계자는 “문제를 해결하기 위해서는 어느 한쪽의 노력만으로는 어렵다. 먼저, 웹사이트 관리자는 웹 콘텐트에 삽입되는 비정상적인 링크에 대해 항상 모니터링하고 대응할 수 있는 수단을 준비해야 한다”며 “그리고 개인 사용자들은 품질이 널리 알려져 있는 백신을 사용하고 윈도 및 자바와 플래시에 대한 최신 보안 패치를 꾸준히 해줘야 하며 악성코드를 유포하는 사이트를 접속할 때 차단하는 크롬 브라우저를 사용하는 것도 방안이 될 수 있다. 그러나 감염을 예방하기 위한 최소한의 대응 방안이라는 점을 염두에 두어야 할 것”이라고 밝혔다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com