국내 유명 제약회사에서 지난 1월 5일부터 6일까지 4차례에 걸쳐 악성링크 삽입 정황이 포착됐다. 빛스캔(대표 문일준) 측은 공격자가 의약분야 종사자에 대한 정보를 탈취하기 위해 악성링크를 삽입한 것으로 추정하고 있다.
 
또 이 기업은 “더욱 우려되는 것은 사이트를 방문해 악성코드에 노출된 사용자뿐만 아니라 B제약 사이트의 권한이 공격자에게 있다는 것”이라며 “사이트 권한이 있다는 것은 악성링크의 삽입뿐만 아니라 또 다른 정보에도 접근 할 수 있다는 것을 의미한다. 보통 공격자들은 정보 유출 이후에 최종 단계로 악성코드 유포지나 경유지로 활용을 하기 때문에 이미 정보가 외부로 유출 되었을 우려도 큰 상황”이라고 덧붙였다. 

 
B제약에서 악성링크가 탐지된 최초 시각은 1월 5일 15시경에 탐지되었다. 이후 16일까지 짧은 시간에 4차례에 걸쳐 악성링크가 동작한 것으로 파악된다.
 
악성링크를 통해 연결되는 공격코드는 최근 6개의 취약점으로 변경된 카이홍 공격킷이 사용되었으며, 최종 악성파일은 금융정보를 탈취하는 파밍기능과 공인인증서 탈취가 주된 목적으로 확인 되었다. 삽입된 악성링크의 정보는 아래와 같다.
 
◇1월 5일 15시경
최초 발견 사이트 :boryung.co.kr/include/js/common.js
악성 URL: mail.xxxxx.co.kr/xxxxxx/xxxx/view.html
 
◇1월 5일 6시경
최초 발견 사이트 :boryung.co.kr/include/js/common.js
악성 URL: mail.xxx-xxxx.co.kr/xxxxxx/New/view.html
 
2014년부터 의료 관련 기관 및 기업에 대한 악성코드 유포가 기승을 부리고 있다. 2014년 10월말에는 의료전문 사이트에서 악성링크가 삽입되었으며, 국내 약 50% 정도 점유율을 보유한 P약국관리 프로그램에서 해당 사이트의 내용을 보는 과정에서 많은 수의 악성코드 감염 피해 사례가 발생한 적이 있다. 현재도 다수의 성형외과, 치과, 의료 관련 학회 및 종합 병원들의 웹서비스에서 현재도 방문자들을 대상으로 감염이 계속 발생되고 있다.
 
빛스캔 관계자는 “공격자들은 특정한 대상에 대한 악성코드 유포를 위해 다양한 기술을 개발해 오고 있으며, 최근에는 특정 대상이 자주 방문하는 사이트를 통해 집중적으로 공격을 강화하고 있다”며 “또 공격자들은 짧은 시간 내에 치고 빠지는 ‘시간차’ 공격 등을 통해 탐지 및 차단을 우회하려는 시도뿐 아니라, 차단이 불가능한 해외 유명 SNS 등을 이용한 C&C 조정과 같은 형태도 계속 발견 되고 있을 정도”라고 우려했다.
 
그러나 “대응하는 수준은 대부분 악성링크에 관련된 부분을 제거하거나 웹사이트에 업로드된 악성 파일을 삭제하는 등 초보적인 수준에 머무르고 있다”며 “이러한 문제를 적극적으로 해결하지 않는다면, 현재 많은 피해를 주고 있는 파밍, 스미싱과 같은 금융 피해 이후에는 의료 관련된 정보의 유출로 더욱 큰 피해가 발생할 수도 있을 것”이라고 경고했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com