지난 12월 16일, KT가 보험사와의 제휴를 통해 제공하는 부가서비스인 olleh(올레)폰안심플랜 온라인 보상센터의 웹서비스를 통해, 모든 접속자에게 공격이 발생되는 상황이 확인돼 이용자들의 주의가 요구된다.

 
빛스캔(대표 문일준) 관계자에 따르면, “olleh폰안심플랜 내부에 삽입되었던 악성링크를 살펴보면 탐지의 우회를 위해 다단계로 통로를 사용해 공격코드가 삽입된 유포지로 연결했으며, 발견된 공격코드는 Caihong EK 변종과 함께 Sweet Orange Kit 변종이 멀티스테이지 형태로 사용되었다”며 “멀티스테이지와 같은 경우 다운로드 되는 바이너리는 같으나 사용된 공격킷의 형태와 취약점 그리고 악성링크는 다른 형태를 가지게 되어 결과적으로는 공격자로서는 효율적인 공격인 반면에,방어하는 입장에서는 초기의 통로에 대한 대처를 하지 못한다면 그 과정을 모르기 때문에 상당히 어려울 수 밖에 없는 기법”이라고 설명했다.

 
덧붙여 “해당 웹사이트를 통해 유포되는 악성파일이 국내 일부 백신의 탐지를 우회하고 있었기 때문에, 보안에 취약한 사용자가 방문했을 경우 악성코드에 감염되었을 확률이 높다”며 “실제로 악성코드를 발견한 이후 바이러스토탈에서 분석한 결과를 살펴보면, 국내 다수의 백신업체(바이로봇은 탐지)에서는 진단하지 못하고 있었다”고 전했다.
 
또 악성파일을 추가적으로 분석한 결과, 공인인증서 탈취 및 파밍 사이트로 연결 시키는 기능이 있는 것으로 확인돼 추가 피해가 우려된다.
 
더욱 우려되는 것은 공격자가 해당 페이지에 대한 권한을 가지고 있다는 점이다. 사이트의 권한을 가지고 있다는 것은 공격자가 데이터베이스와 같이 민감한 개인정보에 접근할 가능성이 있다는 점이다.
 
예를 들어, olleh폰안심플랜 온라인 보상센터 같은 경우는 휴대폰 보험을 온라인으로 신청 받기 때문에 사용자의 번호와 같은 개인정보가 유출되어 해당 정보를 통해서 스팸메일, 스미싱의 활용 등 악성코드 감염 우려 이외에도 부가적인 가입자에 대한 피해도 발생할 수도 있는 것이다.
 
빛스캔 측은 “웹사이트를 통한 악성코드 유포는 매년 반복되고 있는 상황이지만 심각성에 대한 인식은 그리 높지 않게 받아들이고 있다. 근본적인 원인을 찾고 수정되지 않는 이상 이미 열려있는 통로를 통해 공격자는 계속 침입해 악성코드 유포로 활용하는 상황은 반복될 수 밖에 없다”며 “그 피해는 사이트에 접속하고 가입하는 사용자 그리고 기업의 막대한 피해로 이어질 수 밖에 없다. 현재 한국 인터넷 위협 수준은 경고 수준으로 매우 심각한 상황”이라고 밝혔다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com