악성코드 유포가 계속되고 있는 상황에서 실제 감염에 이용되는 최종 악성파일이 국내 대형 항공사 하위 웹서비스에 올려져서 감염에 직접 활용 되고 있어 심각한 상황이다.
 
빛스캔(대표 문일준) 관계자는 “해당 사이트에 올려진 악성파일의 경우 웹서버의 메인에 올려진 상태라, 공격자가 모든 권한을 가지고 있는 것으로 판단된다. 더불어 로그인의 경우 XX항공의 SSO(싱글사인온)를 사용하고 있어서 추가적인 침입이나 정보의 획득 가능성도 이미 높은 상태에 있을 것으로 예상된다”고 주의를 당부했다.
 
항송사에서 진행한 해당 캠페인은 2009년도부터 시작된 것으로 알려져 있으며, XX항공이 주최하고 있는 어린이 그림대회이다. 올해에도 새롭게 사이트가 리뉴얼되었기 때문에 행사 또한 진행될예정이다.
 
12월 9일 오후 2시경, XX항공이 주최하는 <내가 그린 예쁜 비행기>웹사이트에 악성코드 파일이 업로드되어 감염에 이용된 정황이 빛스캔에 의해 확인되었다. 악성코드를 직접적으로 유포하는데 이용된 악성링크는 67.xxx.xxx.45:xxx/index.html이며, 최초 포모X웹사이트에서 삽입된 것으로 분석됐다.
 
악성 파일은 해당 시간에 바이러스토탈(VirusTotal)에 조회해본 결과, 안티바이러스(백신)들이 전혀 탐지하지 못하는 것으로 나타났다. 즉 공격자들은 백신의 탐지 여부를 파악한 후 공격을 시작한 것으로 추정된다.
 
한편, 탐지된 이후 약 2시간 정도 지난 이후에는 해외 백신 쪽에서 탐지 및 대응이 먼저 진행됐다. 하지만 국내 백신 쪽에서는 여전히 탐지하지 못하는 것으로 나타났다.

 
빛스캔 측은 “악성파일을 분석한 결과, 금융 정보를 빼내는 파밍 공격을 이용하는 것으로 파악되었으며, 이를 통해 감염된 사용자들은 파밍 사이트에 접속하게 된다”며 “악성코드에 감염되어 나타나는 파밍 사이트의 경우 기존의 은행 사이트를 모방한 사이트가 아닌 e-금융보안센터를 모방한 것으로서 정보를 입력하는 부분만 공격자가 만든 프레임을 쓰도록 했고 다른 메뉴 등은 모두 정상적인 사이트의 컨텐츠를 호출하고 있어서 사용자의 구분이 어려울 수밖에 없다. 정보 입력 부분만 가짜로 위장할 정도로 교묘한 형태의 파밍이 계속 출현하고 있어서 앞으로도 파밍 피해는 계속될 것으로 예상된다”고 우려했다.
 
또 이 업체는 “해당 웹사이트는 악성링크 삽입을 통해 유포에 활용된 것이 아니라, 악성파일 자체가 웹사이트에 올려져 있는 상황이다. 또 공격자가 해당 웹서버에 파일을 업로드할 수 있는 취약점을 이용하거나 관리자 권한을 가진 것으로 추정된다”며 “더욱이 해당 웹사이트에서는 XX항공 웹사이트와 SSO(Single-Sign-On, 공통계정로그온)을 함께 이용할 정도로 밀접한 관계를 유지하고 있는 것으로 보아, 단순히 해당 사이트의 문제로만 봐서는 안될 가능성이 크다”고 밝혔다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com