2024-03-29 09:10 (금)
국내 유명 J어학원, 악성코드 감염 좀비 사이트로 전락
상태바
국내 유명 J어학원, 악성코드 감염 좀비 사이트로 전락
  • 길민권
  • 승인 2014.03.17 21:42
이 기사를 공유합니다

학원생 수 많은 사이트 중심으로 지속적 악성코드 유포
국내 유명 어학원 J사 사이트에서 지난 3월 15일경, 악성코드를 유포할 수 있는 링크가 삽입되어, 웹사이트 방문자에게 악성코드를 감염시키게 하는 역할을 한 것으로 확인됐다.

 
빛스캔(대표 문일준) 측은 해당 어학원을 통해 유포된 악성링크는 3월 15일 5시에 처음 발견이 되었으며 그 이후 3차례 악성링크가 변경되는 모습을 보였다. 잦은 변경을 한 이유로는 탐지장비 및 악성링크 차단을 우회하기 위한 목적이 크다고 할 수 있다. 또한 악성링크내의 공격코드를 분석해보면 최근 9개 취약성을 사용하고 있는 공다팩을 사용한 것으로 파악되었으며 Java 취약점(7종), IE(1종), Flash(1종)이 사용된 복합적인 공격으로 구성되어 있으며 어느 한 취약점에 노출되기만 하라도 악성코드에 감염되게 하는 용의주도한 모습을 보여주고 있다고 설명했다.
 
정상적인 웹사이트를 방문한 사용자에게 자동으로 악성코드에 감염시키는 공격을 드라이브바이다운로드(Drive-by-download)라고 한다. 공격자는 악성코드 유포를 위해 취약한 웹 서비스들에 대량으로 악성링크를 삽입해 이루어지는 공격을 수년째 활발하게 이용하고 있다.
 
즉, 정상 페이지로부터 자동 접속되는 악성링크는 사용자 PC의 다양한 어플리케이션의 취약점을 이용해 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다. 또한 초기 설치되는 악성파일들은 국내에서 사용되는 주요 백신을 우회하도록 제작되어 있어 초기 대응은 사실상 어려움이 많다는 것이 보안전문가들의 견해다.
 
빛스캔 관계자는 “최근 어학원을 중심으로 한 유포는 2012년에 L어학원을 시작으로 H사까지 비교적 학원생 수가 많은 사이트를 중심으로 유포가 되는 경향을 보이고 있으며 이전 사례를 비추어 보았을 때 한 주가 아닌 연속적으로 악성코드 유포지에 이용되었던 모습을 보인 만큼 J 어학원도 앞의 사례와 비슷할 것으로 보인다”며 “악성코드 유포 사이트로 활용이 되지 않기 위해서는 현재 임시적인 악성링크를 삭제하는 방안이 아닌 근본적인 통로 차단을 원천 봉쇄하여 다시 활용 될 수 없게 하는 방안을 강구해야 한다”고 강조했다.
 
데일리시큐 장성협 기자 shjang@dailysecu.cm
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★