2020-03-30 19:15 (월)
악성코드 감염 통로는 ‘웹’이 대세...취약한 웹 통해 유포
상태바
악성코드 감염 통로는 ‘웹’이 대세...취약한 웹 통해 유포
  • 길민권
  • 승인 2014.07.16 05:31
이 기사를 공유합니다

빛스캔 “악성코드 공격의 시작은 웹사이트 통한 악성코드 감염”
지난 7월초, 웹사이트의 본문 아래에 댓글을 전문적으로 제공해 주는 SNS댓글 서비스에 악성 링크가 삽입된 바 있다. 악성 링크가 삽입되면, 해당 웹사이트 방문자가 보안이 취약할 경우 악성코드에 감염될 수 있어 심각하다.
 
빛스캔(대표 문일준) 측은 “라이브리 서비스를 이용하는 국내외 웹사이트는 약 1만4천여개로 추정되며 그 중에서 직접 확인한 사례만 900여건이 넘는다”며 “대표적으로 언론사, 커뮤니티, 쇼핑몰 등이 포함되어 있어, 인터넷에 접속해 해당 사이트에 방문한 사람들은 악성코드에 감염될 가능성이 높아 적어도 수십만명 이상 감염될 것”이라고 추정했다.


▲라이블리 공통 모듈에 삽입된 악성 링크의 구조. 빛스캔 제공.
 
한편 3.20 사이버테러에서 사용된 악성코드와 유사한 형태가 발견되어 보안 업계 및 기관들이 긴장하고 있다.
 
최근 발생한 3.20 사이버테러와 유사한 악성코드 공격의 시작은 웹사이트를 통한 악성코드 감염으로 확인됐다. 사용자 PC에 최신 어도비 플래시 버전이 설치되어 있지 않은 경우 악성코드가 자동으로 내려와서 설치되며 이를 통해 좀비 PC화되고 공격자가 지정한 C&C 서버로 연결을 시도해 추가적인 공격을 기다리게 된다.
 
빛스캔 관계자는 “악성 링크는 소리XX 웹사이트 등에서 유포가 시작되었으며, 이 사이트는 7월 5일부터 해당 악성 링크 이외에도 포털 계정 탈취에 이용되는 다양한 악성 링크의 삽입이 관찰되었다”며 “악성 링크를 통해 사용자 PC를 감염시키기 위한 공격코드가 실행되는데, 이번 경우에는 어도비 플래시 취약점이 이용되었으며, 사용자 PC에 최신 어도비 플래시 프로그램이 설치되어 있지 않은 경우 악성코드(페이로드)에 감염된다. 이 파일은 7월 9일 오후 2시까지도 주요 백신에서 진단되지 않는 상황이었다”고 설명했다.
 
또 “최근 발생하고 있는 3.20과 같은 사이버테러, 대규모 악성코드 감염과 같이 다수의 사용자에게 피해를 입히기 위해 공격자들은 취약한 웹사이트를 이용하고 있다”고 강조하고 “사용자의 입장에서는 백신 이외에 뚜렷한 해결방안이 없으며 악성 링크를 통해 실제적으로 악성코드에 감염시키는 공격은 이미 수년 전부터 지속되고 있다. 최근 유행하고 있는 파밍 공격도 동일한 방식을 이용하고 있어 각별히 주의해야 한다”고 덧붙였다.
 
빛스캔 측은 악성코드 감염 및 추가적인 피해를 미리 예방하기 위해 3가지 방안을 제시했다.
 
1) 윈도 7 이상 버전을 이용한다. 하위 버전인 윈도 XP는 더 이상 보안 패치가 제공되지 않으므로 잠재적인 위협에 노출될 수밖에 없다.
2) 윈도, 자바, Adobe Flash/Reader를 항상 최신 버전으로 유지한다. 이번 공격에는 Adobe Flash 최신 취약점이 이용된 점을 주목해야 한다.
3) 국내외적으로 공신력 있는 백신을 설치해 이용한다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com