최근 15차례 악성링크 삽입…광고배너 내부 소스 안에 악성링크 삽입
국내 유명 영화 전문사이트에서 지속적으로 악성링크 삽입과 삭제가 반복되고 있어 이용자들의 각별한 주의가 요구된다. 공격자들은 XX무비 사이트를 통해 악성링크를 지난 8월 27일 처음 유포한 후 11월 26일까지 약 15차례에 걸쳐 악성링크 삽입을 지속하고 있으며 광고배너의 내부 소스 안에 악성링크가 삽입됐던 것으로 확인되었다.
빛스캔(대표 문일준) 측은 “우려되는 점은 광고배너를 불러오는 위치가 특정 페이지뿐만 아니라 메인 페이지에서도 노출이 함께 이루어졌다는 점이다. 결과적으로 악성링크가 삽입되어 있었던 시간에 어느 페이지에 접속했더라도 보안에 취약한 사용자는 악성코드에 그대로 노출 되었을 것으로 추정된다”며 “또한 지난 8월부터 최근까지 동일한 위치에 악성링크를 삽입하는 모습을 보았을 때 공격자가 이미 해당 페이지에 대한 권한을 가지고 있다는 것으로 추정할 수 있다”고 설명했다.
XX무비를 통해 발견된 악성링크는 RIG Exploit Kit을 시작으로, 최근 11월 26일에 발견된 악성링크도 해당 사이트를 통해 추적했던 결과 최근 국내 인터넷 환경에서 지속적으로 쓰이고 있는 최신 취약점인 CVE-2014-6332를 사용하는 것으로 확인 되었다. 이를 통해 다운로드되는 바이너리는 파밍 악성코드로 빛스캔 측은 분석하고 있다.
해당 악성링크는 유포된 지 약 1시간이 지난 후 삭제가 된 상태이지만, 사이트 측에서 대응이 되었는지 공격자가 임의적으로 악성링크를 삭제했는지 알 수는 없는 상태다.
빛스캔 관계자는 “XX무비뿐만 아니라 많은 사이트에서도 이와 같은 현상이 동일하게 이루어지고 있다. 근본적인 원인 수정과 지속적인 관찰이 되지 않는다면 매주, 매달, 매년 악성코드 유포지의 이용은 계속 될 수 밖에 없다”며 “끊임없이 웹을 통한 악성코드 감염을 체크하고, 전체 보안 수준을 일정수준 이상으로 유지하지 않는 상황에서 단편적인 대응만 계속하는 것은 많은 웹서비스들이 비슷한 상황이다. 악성링크의 삽입으로 인한 피해는 사이트를 이용하는 방문자와 연관되어 있는 제휴사에게 돌아 갈 수 밖에 없어 보다 적극적인 대응이 필요하다”고 강조했다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
XX무비를 통해 발견된 악성링크는 RIG Exploit Kit을 시작으로, 최근 11월 26일에 발견된 악성링크도 해당 사이트를 통해 추적했던 결과 최근 국내 인터넷 환경에서 지속적으로 쓰이고 있는 최신 취약점인 CVE-2014-6332를 사용하는 것으로 확인 되었다. 이를 통해 다운로드되는 바이너리는 파밍 악성코드로 빛스캔 측은 분석하고 있다.
해당 악성링크는 유포된 지 약 1시간이 지난 후 삭제가 된 상태이지만, 사이트 측에서 대응이 되었는지 공격자가 임의적으로 악성링크를 삭제했는지 알 수는 없는 상태다.
빛스캔 관계자는 “XX무비뿐만 아니라 많은 사이트에서도 이와 같은 현상이 동일하게 이루어지고 있다. 근본적인 원인 수정과 지속적인 관찰이 되지 않는다면 매주, 매달, 매년 악성코드 유포지의 이용은 계속 될 수 밖에 없다”며 “끊임없이 웹을 통한 악성코드 감염을 체크하고, 전체 보안 수준을 일정수준 이상으로 유지하지 않는 상황에서 단편적인 대응만 계속하는 것은 많은 웹서비스들이 비슷한 상황이다. 악성링크의 삽입으로 인한 피해는 사이트를 이용하는 방문자와 연관되어 있는 제휴사에게 돌아 갈 수 밖에 없어 보다 적극적인 대응이 필요하다”고 강조했다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
