최근 특정 노동조합원들이 많이 방문하는 모 노동조합총연맹 사이트에 최근 2~3주 가량 지속해서 악성코드 감염이 확인돼 관련 협회 사이트를 이용하는 노조원들의 PC가 악성코드 감염 위험에 노출되고 있어 주의가 필요하다.

 
빛스캔(대표 문일준)에 따르면, 노동조합 웹 서비스에 악성코드 유포는 4월 14일경부터 계속되고 있는 상황이며, 5월 2주차에는 전국XX노동조합 두 곳의 웹 서비스에서도 악성코드 유포 정황이 탐지되었다. 노동조합에 가입한 인원들과 접속을 하는 인원들이 대부분 현업에 종사하고 있는 직원이라고 볼 때 내부 침투용도로도 다양하게 사용될 수 있으며, 중요 기밀이 유출될 가능성도 있다고 판단된다“며 ”두 사이트의 경우 전국 우체국과 화학 관련 산업 종사자들을 악성코드에 감염 시킨 이후 추가적인 공격을 통해 영향을 미칠 수 있어 상당한주의가 요구된다“고 밝혔다.
 
웹 사이트를 통해 접속자를 공격하는 기법은 공다팩(Gondad Pack) 이 사용되었다. 특히, 악성링크가 시간차이를 두고 교체되는 과정에서 기존에는 공격도구는 바뀌지 않았으나, 이번에 이용되는 과정에서는 공격도구도 함께 바뀌는 모습도 관찰되었으며 이들은 모두 파밍 악성코드로 확인되었다. 이들은 파밍 악성코드 기능 외에도 원격에서 통제되는 백도어 기능도 동시에 가지고 있는 상태라서 위험성은 개인의 금융정보 탈취에만 국한 되지는 않는다.
 
현재 노동조합 관련 사이트를 크롬으로 방문 시에는 경고창이 활성화 되는 것을 볼 수 있어 악성코드 유포 사실을 간접으로 확인 할 수 있다.
 
빛스캔 측은 “노동조합을 대상으로 한 악성코드 유포 시도가 많지는 않았지만, 최근 4월초에 지속적으로 발견이 되고 있다. 웹 서비스를 통해 악성코드가 유포되거나, 최종 악성파일이 업로드 되는 상황은 이미 공격자가 내부에 대한 접근 권한을 가진 상황이라고 볼 수 있다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com