빛스캔(대표 문일준)에 따르면, 중국의 연휴인 국경절(10월 1일~7일)에는 국내 웹사이트를 통한 악성코드 유포는 다소 주춤하는 모습을 보였지만, 공격자들은 공격을 중지한 것이 아닌 새로운 공격을 위한 준비의 시간으로 볼 수 있다. 대표적인 예가 바로 카운터 서버 링크만을 삽입하고, 공격 코드는 넣지 않는 상태를 유지해 대응을 우회하는 것을 들 수 있다. 하지만 이러한 웹사이트들은 대부분 예전에 악성코드 유포에 이용되었던 사이트라고 전했다.
 
최근 카운터 서버 링크만 삽입된 웹사이트를 분석해본 결과, 최소 10여 개 이상의 대학교 관련 웹사이트에서 그러한 징후가 발견되었다.

 
빛스캔 측은 “해당 웹사이트들은 최근 몇 주부터 길게는 1개월여 동안 방치된 상태다. 대부분 웹사이트의 공통 모듈인 JS 파일 또는 특정 페이지의 내부 깊숙이 숨겨져 있는 경우도 있다”며 “예를 들어, 아래 이미지를 비롯한 10여 개의 사이트는 앞서 언급했듯 사전공격 징후인 카운터서버가 삽입되어 있는 상태이며 악성링크는 9월 2일 최초 탐지된 이후로 방치되고 있다. 참고로 현재도 동작하고 있는 악성링크는 최초 발견 당시 RIG Exploit Kit로 연결하는 경유지의 역할을 했다”고 설명했다.

 
이러한 공격의 공통점은 관제가 집중되고 있는 메인 페이지가 아닌 분리되거나 하위에 있는 특정 페이지에서 발생한다는 점이다. 최근에 발생한 위키트리 언론 매체의 악성 링크 변조 공격과 유사한 점을 보이고 있으며, 최대 1개월까지 대응이 되지 않고 있어 위험한 상황이다.
 
회사 관계자는 “악성코드 유포의 통로가 있다는 것은 그 사이트에 대한 모든 권한이 공격자에게 소유되고 있다는 것으로도 볼 수 있다”며 “특히 회원가입 페이지도 해당 웹사이트를 통해 DB로 저장이 된다면 취업을 위한 학생뿐만 아니라 구인을 원하는 기업들의 정보까지 공격자의 손에 넘어 갈 수 있어 매우 심각한 사안이라고 볼 수 있다”고 우려했다.
 
더불어 “많은 사이트에서도 이와 같은 현상이 동일하게 이루어지고 있다. 앞서 말했듯이 근본적인 원인 수정과 지속적인 관찰이 되지 않는다면 매주, 매달, 매년 악성코드 유포지의 이용은 계속 될 수 밖에 없다”며 “끊임없이 웹을 통한 악성코드 감염을 체크하고, 전체 보안 수준을 일정수준 이상으로 유지하지 않는 상황에서 단편적인 대응만 계속하는 것은 한국 대부분 웹 서비스들이 동일한 상황”이라고 전했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com