국내 유명 보안경비, 홈시큐리티, 출입통제, 경호서비스 전문 A기업 웹사이트에서 악성코드 유포 정황이 포착됐다. 2015년 1월 17일 오전에서 1월 19일 오후 늦게까지 이루어진 악성코드 유포 정황이 빛스캔(대표 문일준) PCDS에 의해 확인된 것이다.
 
해당 기업은 악성코드가 아직 제거 되지 않은 상황에서도 관련 캠페인을 실시하고 홈페이지 무료 상담을 제공하고 있어 이용자들의 악성코드 감염이 우려되는 상황이다. 악성코드 영향력은 19일 오후 4시 이후까지 이어진 것으로 조사됐다.

 
빛스캔 측은 “모든 권한이 공격자에게 탈취 당한 상태에서 공용 모듈에 공용코드가 올려진 상황은 단순히 공격코드를 지운다고 해서 해결될 수 있는 부분이 아니다. 또한 공격자가 자유자재로 변경할 정도로 웹 사이트 권한이 있다는 것은 악성링크의 삽입뿐만 아니라 또 다른 정보에도 접근 할 수 있다는 것을 의미한다”며 “보통 공격자들은 정보 유출 이후에 최종 단계로 악성코드 유포지나 경유지로 활용을 하는 경향이 있다는 점을 염두에 두어야 한다”고 강조했다.
 
A사 홈페이지에서 악성링크가 탐지된 최초 시각은 1월17일 오전11시경에 탐지되었으며, 악성링크를 통해 연결되는 공격코드는 최근 9개의 취약점을 이용해 감염을 일으킨다. 감염된 악성파일은 금융정보를 탈취하는 파밍 및 원격조정 기능과 공인인증서 탈취 기능을 가진 것으로 확인 되었다. 보안관련 기업 사이트라 신뢰를 가지고 접근하는 이용자가 대부분이라 감염이 더욱 확대될 수 있어 주의해야 한다.

 
빛스캔 관계자는 “국내 인터넷 환경을 공격하는 공격자들은 특정한 대상에 대한 악성코드 유포를 위해 다양한 기술을 개발해 오고 있다. 최근에는 특정 대상이 자주 방문하는 사이트를 통해 집중적으로 공격을 강화하고 있는 실정”이라며 “공격자들은 짧은 시간 내에 치고 빠지는 ‘시간차’ 공격 등을 통해 탐지 및 차단을 우회하려는 시도뿐 아니라, 차단이 불가능한 해외 유명 SNS 등을 이용한 C&C 조정과 같은 형태도 계속 발견 되고 있을 정도로 발전이 빠른 상황”이라고 우려했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com