지난 3월 14일 23시경, 회계 전문 교육센터 D사 웹사이트에서 방문한 사용자에게 악성코드를 감염시킬 수 있는 통로로 활용되었던 정황이 빛스캔에 의해 탐지됐다. 해당 사이트는 재경관리 선두기업의 공식지정 교육기관이기 때문에 방문자 대부분이 수강생이나 재무 관련된 직원일 가능성이 높다. 기업 내부의 정보 유출 등 추가적인 피해가 발생할 가능성이 높아 심각한 상황이다.


해당 사실을 분석한 빛스캔(대표 문일준) 관계자는 “사용자가 JAVA, 인터넷 익스플로러, 어도비 플래시 등에 대한 최신 보안 패치를 하지 않았다면 악성코드에 감염될 수 있다”며 “다운로드되는 악성코드를 분석한 결과 금융 정보 탈취 목적으로 널리 사용되는 파밍 코드로 확인되었다. 또한 공격자는 사용자 PC에 대한 권한을 가지게 되므로 마음만 먹는다면 DDoS와 같이 다른 공격으로 전환도 가능하다”고 설명했다.
 
D사 교육 사이트는 2011년 10월 18일, 최초 악성링크가 발견되었으며 그 이후 2013년 2월13일까지 11차례 악성링크가 삽입되어 방문자에게 감염시키는 매개체 역할을 수행한 것으로 파악되었다.
 
특히, 경제 방송사 M사 웹사이트 페이지 내에 D사 아카데미 URL이 삽입되어 악성코드를 유포하는 통로뿐만 아니라 직접적으로 악성코드를 다운로드하게 하는데 사용되었다는데 문제의 심각성이 크다.
 
빛스캔 관계자는 “웹사이트를 통한 악성코드 감염의 주요 원인은 보안이 취약한 웹사이트에 있으며 공격자는 이러한 웹사이트를 공격하여 권한을 장악한 다음, 웹사이트 내에 악성링크 한 줄로 인하여 대량으로 감염될 수 있도록 이용하고 있는 실정”이라며 “공격자는 사용자가 알 수 없도록 드라이브바이다운로드(Drive-by-download) 공격을 사용하기 때문에, 사용자 입장에서는 웹사이트를 방문하는 동안에 자신도 모르게 악성코드에 감염되게 되며, 공격자의 의도대로 개인정보, 금융정보를 탈취할 수 있는 파밍 사이트로 이어질 수 있다”고 경고했다.
 
또한 “웹사이트 관리자는 웹사이트의 보안뿐만 아니라 웹컨텐츠에 삽입되는 비정상적인 링크에 대해 항상 모니터링하고 대응할 수 있는 수단을 준비해야 한다. 물론, 공격자들도 다양한 탐지 장비를 우회할 수 있는 기술을 꾸준히 연구하고 이용하기 때문에, 새로운 공격 등에 대한 동향에 대해 귀기울여야 한다”고 덧붙였다.
 
데일리시큐 오병민 기자 bmoh@dailysecu.com