서울에 소재한 대형 병원 임상실험센터 웹사이트가 해킹을 당해 악성코드 최종 유포지로 활용되는 정황이 포착됐다. 악성코드 공격자는 해당 사이트에 최종 다운로드 되는 악성코드를 심어 놓고 4월 2일부터 현재까지 여러 사이트를 통해 감염된 감염자 PC에 악성코드를 유포하고 있는 것이다.
 
해당 사실을 최초 발견한 순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 “지난 4월 2일 새벽부터 국내 대형 병원의 임상실험센터 웹사이트가 해킹되어 악성코드가 업로드 되어 사용자 컴퓨터에 유포되고 있는 것을 확인했다”며 “공격자는 취약한 병원의 웹사이트를 해킹해 악성코드를 업로드했고, 웹사이트의 도메인(URL)을 악성코드 유포지로 사용하고 있다”고 주의를 당부했다.
 
해당 악성코드에 감염된 시스템은 공격자에 의해 원격관리툴(RAT: Remote Administration Tool) 유형으로 제어되며, 시스템 내부에 있는 민감한 정보를 수집해 명령제어(C&C) 서버로 전송한다. 또한 추가적인 악성코드를 다운로드해 디도스 공격 등의 다른 악성행위를 수행할 수 있는 것으로 확인되었다.
 
센터 김종기 연구원은 “해당 사이트에 접속을 한다고 해서 감염되는 것이 아니라 이 사이트는 최종 악성코드를 내려받는 곳으로 악용되고 있다”며 “해당 사이트가 해킹된 방법은 정확히 분석할 수는 없지만 대부분 웹 취약점을 이용해 해킹을 한 후 웹쉘을 업로드해 관리자 권한을 획득하고 이후 악성코드를 삽입해 유포하는 방식으로 이루어진다. 따라서 웹쉘을 탐지할 수 있는 시스템을 도입하고 관리자는 주기적으로 취약점과 웹쉘 탐지에 각별한 주의를 기울여야 한다”고 강조했다.
 
웹사이트에 업로드 된 악성코드가 계속 방치된다면, 공격자가 다양한 방법으로 대량의 사용자 시스템에 악성코드를 감염시킬 수 있는 상황이다. 악성코드를 제어하는 명령제어(C&C) 서버는 국내에 존재하며, 포트번호 ‘2012’를 사용하고 있다고 전했다.
 
또한 병원 관계자들이 악성코드에 감염되었을 경우 환자들의 민감한 건강 및 의료 관련 개인정보 유출 가능성이 있기 때문에 각별한 주의가 요구된다.
 
센터 측은 “국내 웹 사이트의 취약점을 이용한 악성코드 배포는 좀처럼 줄어들지 않고 있다. 특히 웹사이트에 접속만 해도 악성코드가 감염되는 드라이브 바이 다운로드(Drive by download) 방식은 인터넷 사용자들에게 매우 위협적”이라며 “웹사이트가 악성코드 유포지로 활용되지 않게 하려면 웹사이트 관리자의 지속적인 점검과 모니터링이 필요하고, 사용자는 백신 프로그램 사용과 보안패치를 통해 위협 요소를 지속적으로 제거하는 노력이 필요하다”고 권고했다.
 
염흥열 센터장은 “한국인터넷진흥원 등 유관 기관에 해당 웹 사이트에 대한 감염 상황을 전달할 예정”이며, “향후 이러한 경향이 증가할 것으로 예상되므로, 유관 기관간의 감염 상황을 실시간으로 공유하고 치료할 수 있는 자발적 대응 체계의 구축이 필요”하다고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com