12월 3일, 국제 특허관련 법률사무소 웹 사이트에 공격코드를 올려두고, 다른 취약한 사이트들에 추가된 정황이 발견 되었다. 공격자는 이미 특허관련 사무소의 웹서비스에 대한 권한을 가지고 있는 상태이며 정체가 노출될 수 있는 공격링크로 직접 활용한 것으로 보아 내부 침입과 정보의 탈취는 이미 발생되었을 것으로 추정된다.
 
빛스캔(대표 문일준) 측은, 국제특허법률사무소 웹 사이트에 삽입된 공격코드는 Caihong EK(변종)과 최근 국내 인터넷 환경에서 지속적으로 쓰이고 있는 최신 취약점인 CVE-2014-6332를 사용하는 것으로 확인 되었으며, 이를 통해 다운로드되는 바이너리는 파밍 악성코드 및 공인인증서 탈취 기능으로 분석되었다”고 설명했다.
 
또 “감염된 PC에서 유출된 인증서들은 공격자가 운영하는 별도의 서버에 보관이 되어 있었고, 매주 관계기관에 전달해 대응을 할 수 있도록 하고 있다”며 “그 인증서 목록에서도 특허법인 및 특허 사무소들의 인증서들이 확인된 상황이다. 즉 인증서를 활용한 추가적인 접근이나 도용 이외에도 내부에 감염된 PC들이 존재하고 있다는 것”이라고 덧붙였다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com