한국방송통신전파진흥원 산하 해외한국어방송사 지원시스템 사이트(kobi.or.kr)에 지난 14일부터 악성 공격링크가 발견됐다.
 
빛스캔(대표 문일준) 측에 따르면, “지난 1월 14일 저녁 최초 공격링크가 발견되었으며, 1월 15일 오후에 Kobi.or.kr 사이트에서 제거된 것으로 추정된다”며 “파일공유사이트 사용자들을 대상으로 한 공격에 직접 이용된 상황이 관찰되었다. 참고로 파일공유 서비스들은 국내에서 발생된 3.4 DDoS , 7.7 DDoS , 농협사건에서도 언급될 정도로 위험도가 높아 집중적으로 모니터링이 되고 있는 것으로 알고 있다. 그럼에도 불구하고 공공기관 웹서비스가 공격에 직접 이용된 상황은 심각한 것”이라고 설명했다.

   
파일공유 사이트에 공격링크로 삽입된 링크는 www.kobi.or.kr/xxxxx/xxxxxx/xxx/xxx/1.js /www.kobi.or.kr/xxxxx/xxxxxx/xxx/xxx/1.html 2종류이며, 공격기법은 카이홍 98.xxx.188.xx:801/index.html, 오랜지 스윗 변종 98.xxx.188.xx:801/2.html 두 종류가 복합적으로 사용된 것으로 조사됐다. 최종 악성파일은 파밍 및 공인인증서 탈취 기능을 기본으로 내장한 악성코드로 분석되었다. 다행히도 대부분의 국내 주요 백신에서는 악성파일로 탐지되는 것으로 확인되었다.
 
빛스캔 측은 “정상 페이지로부터 자동 접속되는 악성링크는 사용자 PC의 다양한 어플리케이션의 취약점을 이용해 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다. 또한 초기 설치되는 악성파일들은 국내에서 사용되는 주요 백신을 우회하도록 제작되어 있어 초기대응은 사실상 어려움이 많다”며 “모든 악성링크가 추가된 모든 웹서비스 (경유지) 방문자를 대상으로 공격은 발생되며, 접속하는 브라우저가 해당 취약점 중 한가지 취약점에만 노출되어도 감염되고 좀비PC가 된다. 감염이 된다면 PC의 모든 권한이 공격자에게 넘어간 상태가 되고, 추가적인 피해로 이어질 수 있다. 제대로된 관찰과 대응이 있어야 위험은 관리될 수 있을 것”이라고 강조했다.

한편 해당 사이트 관계자는 "방송통신진흥본부에서 위탁?운영하는 ‘해외한국어방송사업지원시스템’의 홈페이지(kobi.or.kr)에서 악성코드가 발견되었음을 지난 14일 밤 11시 경에 한국인터넷진흥원(KISA)으로부터 통보를 받았다. 현재 kobi.or.kr 홈페이지는 해당부서에서 모 업체와 유지?보수 계약을 체결해 관리되고 있는 홈페이지"라며 "통보 받은 즉시 15일에 악성코드 제거 및 후속조치를 완료한 상태다.  또 RRA 사이버안전센터에 웹취약점 분석을 요구하고 21일 분석결과를 확인하고 해당부서에서 추가 보완 조치를 완료했다"고 해명했다. 
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com