지난 7월 31 위키XX 인터넷 뉴스사이트를 통해 악성코드가 유포된 바 있다. 당시 위키XX 사이트는 일부 사이트에 장애가 있었지만 근본적인 원인을 찾아 제거한 동시에 모니터링을 강화 하고 있다는 공지사항을 사이트에 게시한 바 있다.
 
이로부터 2달여가 지난 현재 위키XX 사이트를 통한 악성코드 유포 정황이 다시 포착되었다. 해당 사이트를 통한 악성코드 유포는 9월 18일부터 시작되어 28일까지 악성링크의 삽입과 삭제가 반복되는 현상이 지속적으로 나타났다.

빛스캔(대표 문일준)에 따르면, “해당 사이트 악성코드 유포는 일반 웹 페이지뿐만 아닌 모바일 사이트를 통해서도 동시에 유포되었다. 특히, 28일에 해당 사이트를 통해 유포되었던 악성링크 삽입은 초기 메인페이지에서는 등장하지 않았으며 뉴스기사 페이지를 통해서만 유포되었다”며 “기존의 메인페이지를 통한 유포가 아닌 특정페이지를 이용한 가장 큰 이유는 대다수의 관제가 메인페이지를 중심으로 이루어져 있기 때문에 변형적인 방법을 선택한 것으로 판단된다. 특정기사 링크를 통해 접속하는 것이 대부분인 상황에서 감염효과는 매우 높다. 더불어 국내에서 잘 탐지 되지 않는 새로운 공격 코드를 이용할 경우에는 탐지 비율은 낮을 수 밖에 없다”고 설명했다.
 
이 회사 설명에 따르면, 위키XX 사이트를 통해 삽입된 악성링크에서는 Caihong Exploit Kit를 사용하고 있었으며 다운로드 되는 파일은 공인인증서 탈취와 함께 백도어를 통해서 지속적으로 공격자의 서버와 통신하고 있는 것으로 확인되었다. 이 기간 보안 업데이트가 되어 있지 않은 사용자가 방문하였을 시 악성코드 감염 가능성이 높으므로 정밀적인 진단을 통해 제거를 해야 하며, 동시에 위키XX 사이트에서는 다시 한번 공격자가 들어온 통로를 확인하여 제거해야만 하며 임시적인 대책에 머물 경우 언제든지 현재와 같은 상황은 지속될 수 밖에 없으며 그 피해는 위키XX를 방문하는 모든 사용자가 피해를 받는다.
 
빛스캔 관계자는 “지난 4년 이상의 빛스캔의 관찰 결과는 한국 인터넷의 적나라한 현실과 피해를 입증하고 있다. 피해는 웹서비스를 이용하는 모든 사용자가 받는다. 더불어 기업내의 사용자가 감염되었을 경우, 기업의 존망과도 연결될 수 있다”며 “내부로 침입하는 APT는 이제 인터넷 서핑만으로도 자연스럽게 침입이 된다. 정확하게 공격자들의 의도를 알아내고 한 차원 높은 방식으로 빠르게 정보를 생산하고 이용하지 않는다면, 완벽하게 보이는 보안장비들도 허수아비일 뿐”이라고 지적했다.
 
현재 빛스캔은 국내 180만개의 웹 서비스와 해외 30만 여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 정보를 제공 하고 있다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com