최근 취약한 웹사이트를 통한 악성코드 유포가 높은 수준으로 계속 발생이 계속되고 있다. 공격자는 웹사이트를 직접 노리지 않고 간접적인 유포 방식을 이용해 대응을 어렵게 하는 형태가 꾸준히 나오고 있다. 그 중 대표적인 사례가 광고 배너와 같이 외부 컨텐츠를 활용하는 방법이다. 써드파티 업체란 해당 서비스에 직접 소속은 되어 있지 않지만 플러그인 형식이나 이벤트 제공 서비스를 통해 연결되어 있는 형태를 말한다.
 
빛스캔(대표 문일준) 관계자는 “웹서비스는 모든 것이 연결되어 있다. 단 하나의 외부링크만이 실제 서비스에 붙어 있는 경우에도, 외부 링크가 공격자에 의해 변경이 된다면 악성코드 감염에 실제 서비스가 이용이 되는 것과 동일하다”며 “최근 들어 써드파티 서비스들을 통한 지능화된 악성코드 유포 및 감염이 2~3주 이상 계속 되고 있으나, 실제 피해 범위를 예측하기 어려울 정도로 영향을 미치고 있을 것으로 보인다”고 경고했다.
 
대표적인 사례가 3월 3주차에 온라인 상에서 화두가 되었던 다수의 티스토리 블로그가 구글 크롬에 의해 차단된 사례를 들 수 있다. 해당 경우는 티스토리 블로그 내에서 광고 용도로 많이 사용되고 있는 올블렛 플러그인 소스에 공격에 이용되는 악성링크가 추가되어 발생된 사례이다.

 
현재 2주 연속으로 써드파티 서비스가 악성코드 감염에 이용 되고 있는 곳은 개인 블로그나 홈페이지에서 연동 할 수 있는 광고플러그인 서비스인 올블렛 서비스를 들 수 있다. 또한 다수의 파일공유 사이트와 신용카드 서비스들에 포인트 전환 이벤트 서비스를 제공하는 메크로스의 경우도 3월 3주차에 이어 4주차에도 주말을 기해 악성코드 감염에 이용되는 것이 관찰 되었다.
 
빛스캔 측은 “다수의 개인 홈페이지 및 블로그에서 이용되는 올블렛 서비스를 이용한 악성코드 감염 사례와 다수의 사용자들이 접속하는 파일 공유 사이트의 이벤트 페이지를 통한 악성코드 감염은 실제 피해 범위를 추정하기 어려 울만큼 폭넓은 수준으로 영향을 주었을 것으로 보인다”며 “유포된 악성코드의 특징은 파밍형 악성코드와 원격에서 조정되는 백도어가 동시에 감염된 것으로 확인 된다”고 설명했다.
 
외부 컨텐츠에 악성링크를 삽입하는 공격은 탐지뿐만 아니라 대응도 어려울 수밖에 없다. 실제 악성코드 유포는 연결된 써드파티 서비스가 악성코드 감염을 위해 소스가 변경된 상황이지만, 감염되는 피해자들은 써드파티 서비스를 이용하는 모든 서비스가 영향을 받는다는 점이다.
 
보안을 철저하게 하는 서비스라 할지라도 연결된 플러그인이나 써드파티 서비스가 해킹을 당하고 악성코드 유포에 이용된다면, 악성코드 감염에 정상적인 서비스가 유포통로로 악용되는 것이다.
 
영세한 서비스를 제공하는 기업에서는 보안성을 강화한다는 것은 어려운 과제가 될 수밖에 없다. 또한 써드파티 서비스와 같이 연결된 서비스의 경우에는 전체에 미치는 영향력을 파악하기가 매우 어려운 상황이 현실이다. 개별 기업에서 파악하고 대응하기 어려운 문제에 대해서는 책임 있는 기관과 기업들에서 영향력을 파악하고 대응을 할 수 있는 체제가 필요하다.
 
일반 사용자 입장에서 불특정한 서비스에서 발생되는 악성코드 감염 시도에 대해 감염을 줄일 수 있는 방안은 백신을 사용하고, 윈도 및 자바와 플래시에 대한 최신 보안 패치를 꾸준히 해주어야만 감염 피해를 줄일 수 있는 최선이라 할 수 있다.
 
빛스캔 관계자는 “정상적인 서비스를 제공한 기업의 경우에도, 외부서버에서 제공되는 페이지가 변조된 상황에서는 실제 정상적인 사용자들도 모두 영향을 받을 수밖에 없다는 점을 알 필요가 있다. 일반 사용자 입장에서는 외부 서비스가 악성코드를 감염시켰는지의 여부는 중요하지 않다. 단지 자신이 사용하고자 하는 서비스를 이용할 때에 감염된 것만 것 중요하게 여길 뿐이다. 외부 링크를 활용하는 곳들에서도 주기적인 변조 및 상시적인 악성코드 감염 여부를 확인 할 수 있도록 여러 대책들을 강구하여 서비스 이용자들의 안정성을 지킬 수 있도록 노력해야 할 것”이라고 강조했다.
 
수없이 많은 웹서비스에 추가된 써드파티 서비스들에 대해서는 감염에 대한 영향력이 매우 높은 상황이므로, 주요 플러그인 및 사용율이 높은 써드파티 서비스에 대해서는 악성코드 유포 및 변조 여부에 대해서는 심각한 모니터링이 필요하다. 대부분 써드파티 서비스를 제공하는 업체가 영세하다는 측면에서 본다면 위협관리 측면에서 다른 차원의 대응이 필요해 보인다.
 
빛스캔 측은 “대응의 단계는 영향력이 높은 서비스 이외에 연결된 구조를 가지고 있는 써드파티 서비스들을 파악하는 것이 먼저이고, 그 뒤에는 각 서비스들에 대한 모니터링이 되어야만 대규모 위협을 관리할 수 있다”고 권고했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com