국내 웹사이트를 통한 악성코드 유포는 지난해에 이어서 올해에도 지속되고 있는 상황이다. 악성코드의 유포지로 활용된 사이트를 요약해보면 어학원, 파일공유, 쇼핑몰, 여행사 사이트 등 방문자가 특히 많은 사이트들을 대상으로 악성코드 유포지와 경유지로 활용되었으며 특히 주말뿐만 아니라 평일에도 활발한 활동을 하는 모습이 관찰 되고 있다.
 
빛스캔(대표 문일준) 측은 “악성코드 유포가 지속되는 가운데 지난 3월 15일(토)에 기사화를 통해 문제를 해소하려 했지만 제대로 조치가 되지 않은 것 같다”며 “4월 2일 자정 무렵, 국내 대형 쇼핑몰과 제휴를 맺은 여행전문 사이트 모두투어를 통해 악성코드가 또 다시 유포되는 모습이 포착됐다. 모두투어는 여행정보와 함께 예약 등 많은 정보를 제공하고 영향력 있는 웹 사이트기 때문에 많은 사용자가 악성코드에 노출되었을 가능성이 높다”고 이용자들의 주의를 당부했다.

 
모두투어를 통해 유포된 악성코드는 4월 2일 밤 11시에 탐지됐다. 특히 악성코드 위치가 공용모듈에 삽입되어 있어서 유포기간 어느 페이지를 접속해도 악성코드에 노출이 되도록 공격해 이 기간 방문한 많은 사용자가 감염이 되었을 것으로 추정된다.
 
최초 악성코드 발견 – 2014년 04월 02일(수) 14시경
www.modetour.com/xxxx
→ xxxxxx.co.kr/xxxxx/pop/index.html (악성코드 유포지)
→ xx.xxx.xxx.xx:xxx/smss.exe (최종파일)
 
대형 쇼핑몰 URL (6곳) – 2014년 04월 02일(수) 23시경
modetour.XXsmall.com/xxxx/xxxxxxx_C.aspx?siteno=xxxxxx&xxxxx=xxxxxxxxx
modetour.XXXXsegaemall.ssg.com/xxxxx/xxxxxxx_b.aspx
modetour.XXtteimall.com/xxxx/xxxxxxx_A.aspx
modetour.XXmall.com/xxxx/xxxxxxx_C.aspx?siteno=xxxx&xxxxx=xxxxxxxxx
modetour.XXst.co.kr/xxxxx/xxxxxx_a.aspx
modetour.XXXXdaihmall.com/xxxx_xxxxxxx/xxxxxx/xxxxxx.aspx?gubun=7
 
빛스캔 측은 “공격에 이용된 자동화 도구는 ‘Caihong Exploit Kit’이 사용되었다. Caihong 공격도구는 최근 공다팩과 같이 국내에서 사용비율이 증가되고 있는 추세이며 8개의 취약점을 가지고 있는 것으로 확인되었다”며 “특히 난독화 부분에서는 공다팩과 다른 기법을 사용하여 패턴 탐지가 쉽지 않게 되어있기 때문에 차단되는 비율도 적은 편이다. 추가적으로 Caihong 공격킷을 통해 다운로드 된 바이너리는 파밍 악성코드를 포함하고 있었으며 그 외에 C&C 연결이 활발히 이루어지는 것을 보았을 때 파밍 이외에 사용할 수 있는 여지가 충분히 있는 위험한 상태”라고 경고했다.
 
한편, 악성링크가 삽입되어 사용자가 방문 시 악성코드에 감염될 가능성이 있는 사이트를 차단하는 서비스에는 대표적으로 구글의 스탑배드웨어가 있다. 구글이 축적한 악성링크 DB는 크롬과 사파리 브라우저에서 활용되어 악성코드 감염 예방에 기여하고 있다. 하지만 모두투어에 대한 탐지 결과를 보면, 탐지하지 못함을 알 수 있다. 이런 경우 사용자가 크롬 브라우저를 사용하더라도 악성코드에 감염될 가능성이 높을 수밖에 없다.
 
빛스캔 관계자는 “매주 악성코드 유포지는 증가하고 있으며 공격대상은 방문자가 많고, 영향력이 높은 사이트로 집중되는 현상을 보이고 있다. 사건이나 사고는 위험신호가 일정수준 축적이 되었을 경우 언제든지 발생할 수 있다”며 “따라서 문제 발생 이전의 확산단계에서부터 단계적으로 위험을 줄이려는 노력이 반드시 필요한 상황이다. 즉 통로차단 같은 사전에 위험을 줄이기 위한 노력들이 선행 되어야 할 것”이라고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com