악성코드 유포는 국내 사용자 방문이 많은 웹 서비스에 악성링크를 삽입해, 금융정보 탈취용 악성코드를 지속해서 감염시키는 상황이 지속되고 있다. 최근 주요 산업에 해당하는 노동조합 웹 사이트에 공격링크가 올려진 정황이 탐지됨과 동시에 호스팅 서비스를 제공하는 회사들의 페이지도 악성파일 및 공격 링크로 이용되고 있어 위험한 상황이다.
 
빛스캔(대표 문일준) 측은 “중소 호스팅서비스사에서 직접 운영하는 서비스들이 악성링크 혹은 악성파일이 올려져서 공격에 직접 이용되는 상황이 계속 되고 있다”며 “호스팅 서비스를 받는 곳들이 아니라 서비스 자체를 운영하는 곳이 공격에 이용된 상태라 문제의 심각도는 높다. 더불어 전체 호스팅 서비스들에도 직접 영향을 줄 수 있는 권한을 획득했을 가능성이 높다. 즉 단기간에 지금보다 더 심각한 대량 유포 사태가 발생될 수도 있을 것”이라고 경고했다.
 
호스팅 서비스를 운영하는 기업의 서비스가 악성파일 유포에 이용되고, 노동조합 홈페이지가 악성링크로 직접 이용되는 상황은 심각한 상황이다.

 
노동조합에 가입한 인원들이 대부분 현업에 종사하고 있는 직원이라고 볼 때 내부 침투용도로도 이미 다양하게 사용되었을 수 있으며, 중요 기밀들에 대한 노출도 가능하다. 관련 산업 종사자들을 악성코드에 감염 시킨 이후 추가적인 공격을 통해 영향을 미칠 수 있으므로 높은 수준의 주의가 필요하다.
 
빛스캔에 따르면, 웹 사이트를 통해 접속자를 공격하는 기법은 Caihong EK + OLE가 사용되었다. 특히, 이번에 이용되는 과정에서는 호스팅 업체에서 직접 악성파일을 다운로드 받도록 되어 있었다. 악성파일은 모두 파밍 및 공인인증서 탈취 악성코드로 확인되었다. 그러나 파밍 악성코드 기능 외에도 원격에서 통제되는 백도어 기능도 동시에 가지고 있는 상태라서 위험성은 개인의 금융정보 탈취에만 국한 되지는 않는다.
 
호스팅 서비스의 경우, 악성파일이 올려져서 감염에 이용되는 경우와 지난 11월 말의 XXX호스팅 404 페이지를 변조해 전체 호스팅 서비스에서 404가 호출될 경우 감염이 발생되도록 한 사안도 있었다. 두 사안 모두 호스팅 서비스를 운영하는 업체의 서비스가 직접 공격에 이용된 정황이라, 겉으로 보이는 사안보다 심각한 사안이다.
 
빛스캔 측은 웹 서비스를 통해 악성코드가 유포되거나, 최종 악성파일이 업로드 되는 상황은 이미 공격자가 내부에 대한 접근 권한을 가진 상황이라고 볼 수 있다. 근원적으로 웹서비스의 취약성을 일정수준으로 관리하고, 상시적으로 점검을 할 수 있어야 문제를 줄일 수 있다. 또한 대규모 감염을 예방하기 위해 신속하게 차단하고, 대응함으로써 피해를 줄이는데 노력을 꾸준히 해야 한다고 강조했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com