“지난해 8월, 국내 유포된 악성코드를 역추적한 결과, 병원 내 각종 의료정보가 해외 서버에 수집되고 있는 것으로 나타났다. 홍콩에 위치한 이 서버에는 의료 관련 기관들에 속한 좀비 PC만을 별도로 관리하고 있는 정황을 확인 할 수 있었으며, 좀비 PC의 내용에는 진료기록•처방목록•MRI 촬영 관리 도구까지도 확인하는 모습들을 직접 볼 수 있었다. 또한 병원 의료정보뿐만 아니라 의약업체의 내부 PC들까지도 좀비PC로 관리되고 있는 정황도 확인된 바가 있다.”
 
빛스캔(대표 문일준)은 국내 의료정보들이 해외로 유출되고 있는 정황을 지난해부터 파악하고 최근 이에 대한 주요 근거로 국내 유명 의료정보 포탈에서의 악성코드 유포가 큰 영향을 미쳤다고 밝히고 있다.
 
이 업체 관계자는 “의료기관과 기업의 PC들이 원격에서 직접 해커에게 관리 될 수 있었던 이유는, 당시 의료정보 포털 사이트인 D사이트와 같은 의료 정보 제공 웹사이트를 통해 악성코드 유포가 이루어져 의료 종사자들에 대한 워터링홀과 같은 형태의 공격이 있었기 때문”이라고 설명해 충격을 주고 있다.

 
D포털에서는 2013년 12월에 악성코드 유포가 발견 되었으며, 약 2개월이 지난 최근 다시 주말기간 악성코드가 유포되었던 정황이 발견된 것이다.
 
빛스캔 측은 “D사이트는 의학신문분야 주요 매체로 한 주의 방문자가 4만명에 이를 정도이며 대다수의 접속자가 병원, 약국 등 의학 업계 종사자로 알려져 있다. 지난 2개월 동안 악성코드의 유포가 없었으나 최근에 나타난 점을 보면, 지난해 8월 당시와 매우 유사한 상황으로 볼 수 있는 심각한 상황”이라고 경고했다.

유포이력을 자세히 살펴보면 초기 악성코드 발견 시각은 지난 3월 16일 23시경 빛스캔 PCDS 체계를 통해 탐지가 되었으며 17일 오후까지 유포가 이어졌다. 발견된 악성링크는 1xx.x.1xx.3x/xxxxxxxxx.html로 연결하고 있는 것으로 확인 되었으며 추가 확인 결과 멀웨어넷으로 밝혀졌다. 발견된 악성링크는 해당 사이트를 포함해 최소 10군데 사이트에 동시에 영향을 주고 있는 모습도 포착됐다.
 
공격자는 쉬우면서도 신속한 공격을 위해 미리 공격을 준비한 공격팩(Exploit Toolkit)을 이용했다. D사이트의 경우, Caihong Exploit Kit이 이용되었다. 이 공격팩은 모두 8가지의 취약점(JAVA, MS, Adobe Flash)을 활용한다. 한편 국내에서 가장 많이 사용되는 공다팩(Gongdad Exploit Toolkit)은 모두 9가지 취약점을 이용한다. 8개 또는 9개의 취약점에 대해 완벽하게 보안 패치가 되어 있지 않는 사용자가 D사 웹서비스에 방문하게 되면 즉시 악성코드에 감염될 가능성이 매우 높다는 설명이다.
 
공격자는 국내에서 발생하는 다양한 시사 및 경제 이슈들에 대해서 명확하게 알고 있으며, 이를 활용해 악성코드를 효과적으로 배포하기 위한 방안으로 사용하고 있다. 대표적인 예로, 최근 의료계에서 원격 진료 등 관련된 이슈가 많이 발생하고 있으며 이러한 이슈에 대한 궁금증을 해결하기 위해 주말에 많은 사용자가 방문했을 것이다. 그만큼 많은 사용자가 악성코드에 감염되었을 가능성이 크다.
 
빛스캔 관계자는 “악성코드 유포에 대한 해결방안은 다양하지만, 웹사이트에 삽입된 악성링크를 삭제하는 방법으로는 한계가 있다”며 “즉 웹사이트의 보안상 문제로 인해 발생하는 것이니만큼, 웹사이트의 보안을 강화해야만 한다. 그렇지 않다면 언제든 악성링크가 다시 삽입되는 사고가 발생할 수 있으며 그 피해는 오롯이 방문하는 사용자에게 나타나게 된다”고 밝혔다.
 
이 업체는, 2014년 3월 현재 한국 인터넷 위협 레벨을 “경고”로 상향하고 위협 해소를 위해 주요 대표 서비스들에서의 악성코드 유포 행위와 위험성에 대해서는 적극적으로 알람을 띄우고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com