빛스캔 “통일그룹 계열사 비롯 관련 웹사이트 다수에서 악성코드 유포 확인돼”
최근 악성코드 유포 경향을 살펴 보면, 하나의 웹서버에서 악성코드를 유포하는 방식이 아닌 다양한 웹서버 또는 연관된 웹서버들에게 동시에 영향을 미치는 경우가 많다. 최근 모 그룹에서는 계열사를 비롯한 관련된 웹서비스 다수에서 동일한 악성코드가 유포되는 행위가 반복되고 있는 정황이 포착돼 주의가 요구된다.빛스캔(대표 문일준) 관계자에 따르면, “일화 웹사이트를 통한 악성코드 유포는 2013년 2월에 처음 발견된 이후로 3년여가 지난 2015년까지 악성코드의 유포가 증가하거나 정점에 이루어졌을 때 계속 발견되고 있다”며 “더욱 우려되는 점은 단일 웹 서비스가 아닌 전체에 걸쳐서 동일한 현상이 나타난다는 것이다. 즉 공격자가 하나의 서비스에 대한 권한이 있는 것이 아닌 전체에 대해서 컨트롤 할 수 있다고 볼 수 있다. 더욱 우려되는 것은 일화의 홈페이지에서 인트라넷이나 제휴사(파트너)로 접근할 수 있도록 쉽게 노출되어 있다는 점이다. 즉 2013년부터 꾸준히 악성코드 유포가 있었기 때문에 추가적인 피해가 발생됐을 가능성이 매우 높은 상태”라고 분석했다.
▲[그림 1. 일화기업에 삽입되어 있는 악성링크 – 1월 2일] 빛스캔 증거자료
▲[그림 2. 일화기업의 2015년 일부 악성코드 유포 이력]
회사 측에 따르면, 일화 웹사이트의 악성코드 유포 이력을 살펴보면 [그림 2]처럼 전체 서비스에 대해 광범위하게 유포되고 있다는 것을 간접적으로 알 수 있다. 특히 2015년 같은 경우에는 아직 1월 초반임에도 2013년도 총 유포된 횟수와 비슷할 정도로 악성코드 유포가 이루어진 것으로 분석됐다. 이를 보면, 전반적인 문제에 대한 수정이 이루어지지 않는다면 올해에는 주요 악성코드 유포 통로로 이용될 가능성이 매우 크다고 볼 수 있다.
참고로 일화에서는 2013년도에는 4건의 악성코드 유포가 발견되었으며, 공격킷으로는 공다팩, 카이홍이 사용되었으며, 2015년에는 카이홍과 CVE-2014-6332가 결합된 공격킷이 사용되고 있다. 2년 여간 공격킷의 변화는 있었지만 둘 다 모두 파밍 악성코드를 다운로드 하는 것은 과거나 현재 모두 동일한 것으로 분석됐다.
빛스캔 측은 “그룹의 전체에 악성코드가 영향이 미치는 경우는 흔치 않는 상황이며, 이를 심각하게 받아드릴 필요가 있다”며 “빠른 원인과 대책을 세우지 않는 다면 지난 3년 여간의 피해는 계속해서 누적 될 수 밖에 없으며, 이에 따른 여파는 회사 전반의 피해뿐만 아니라 관계되어 있는 협력사와 고객 등에게도 미칠 수 있기 때문에 다시 한번 심각성을 인지 할 필요가 있다”고 경고했다.
또 “최근 공격은 시간과의 싸움이라고 해도 과언이 아닐 정도로 신속하게 유포하고 사라진다. 1~2시간 주기로, 악성링크의 URL을 수시로 변경하거나, 삭제해 탐지하기 어렵게 하는 경향이 있다”며 “다양한 취약점을 이용해 감염률을 높이는 공격자의 전략이 지속된다는 점에서 활용도가 매우 높다는 것을 익히 알 수 있다. 시간과의 싸움에서 진다면 피해는 계속 누적 될 수 밖에 없다”고 강조했다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
참고로 일화에서는 2013년도에는 4건의 악성코드 유포가 발견되었으며, 공격킷으로는 공다팩, 카이홍이 사용되었으며, 2015년에는 카이홍과 CVE-2014-6332가 결합된 공격킷이 사용되고 있다. 2년 여간 공격킷의 변화는 있었지만 둘 다 모두 파밍 악성코드를 다운로드 하는 것은 과거나 현재 모두 동일한 것으로 분석됐다.
빛스캔 측은 “그룹의 전체에 악성코드가 영향이 미치는 경우는 흔치 않는 상황이며, 이를 심각하게 받아드릴 필요가 있다”며 “빠른 원인과 대책을 세우지 않는 다면 지난 3년 여간의 피해는 계속해서 누적 될 수 밖에 없으며, 이에 따른 여파는 회사 전반의 피해뿐만 아니라 관계되어 있는 협력사와 고객 등에게도 미칠 수 있기 때문에 다시 한번 심각성을 인지 할 필요가 있다”고 경고했다.
또 “최근 공격은 시간과의 싸움이라고 해도 과언이 아닐 정도로 신속하게 유포하고 사라진다. 1~2시간 주기로, 악성링크의 URL을 수시로 변경하거나, 삭제해 탐지하기 어렵게 하는 경향이 있다”며 “다양한 취약점을 이용해 감염률을 높이는 공격자의 전략이 지속된다는 점에서 활용도가 매우 높다는 것을 익히 알 수 있다. 시간과의 싸움에서 진다면 피해는 계속 누적 될 수 밖에 없다”고 강조했다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
