대한항공여행사진공모전 사이트에 지난 20일, 22일 악성파일 업로드돼
지난해 12월 9일, 국내 언론사이트에서 발견된 악성코드가 대한항공에서 운영하는 캠페인 “내가그린예쁜비행기” 사이트에서 유포된 바 있다. 하지만 이번에 다시 대한항공 하위서비스에서 악성파일이 업도르된 상태로 감염에 악용되고 있는 정황이 포착돼 이용자들의 각별한 주의가 요구된다.빛스캔(대표 문일준) 측에 따르면, “대한항공의 경우 2015년 1월 20일과 22일에 별개의 대한항공 하위 웹사이트에서 악성파일이 업로드된 상태로 감염에 이용되는 정황이 발견되어, 전체적 관리 및 문제 상황이 수면위로 노출되는 것을 확인 할 수 있다”며 “해외 공격자들에 의해 국내의 주요 기반시설에 대한 공격들이 계속 시도되고 있는 상황에서 항공 관련 서비스들도 내부의 중요 시스템들과 함께 강력한 점검과 침입 분석, 대응이 병행되어야만 할 것”이라고 강조했다.
▲대한항공여행사진공모전에 업로드 된 악성코드 – 2015년 1월 22일
악성파일의 배포에 이용된 하위 서비스는 <대한항공여행사진공모전> 서비스이며, 차단을 회피하기 위해 국내 서비스에 직접 악성파일을 올려서 중개하는 용도로 사용된 것을 볼 수 있다.
▲바이러스 토탈 탐지 여부 – 2015년 1월 22일 22시경
▲바이러스 토탈 탐지 여부 – 2015년 1월 26일 15시경
<대한항공여행사진공모전> 웹사이트를 통해 배포된 악성코드는 지난 20일과 22일에 각기 다른 성격을 가진 파일로 분석 되었다. 20일에는 해외서비스인 핀터레스트(PINTEREST)를 이용하는 포트번호별 파밍으로 확인 되었으며, 22일에는 중국 최대 소셜 서비스인 QQ를 이용하는 파밍으로 분석되었다.
최근의 파밍형 악성코드는 지속적으로 파밍 IP를 변경하고 있어서, 초기에 차단하거나 빠른 악성코드 탐지가 이루어지지 않는다면 문제는 계속 될 수밖에 없다. 현재 국내를 대상으로 감염이 발생되고 있는 드라이브 바이 다운로드(Drive by download) 악성코드의 대부분은 바이러스 토탈에 초기에 보고가 안되었거나 보고되었더라도 주요 백신(안티 바이러스)들의 탐지를 기본적으로 우회하고 있는 상황이다.
빛스캔 관계자는 “2015년도에도 취약한 웹사이트를 통한 악성코드 유포는 계속되고 있다. 특히, 최근에는 시기 적절하게 여행사, 성형외과, 파일공유(P2P) 등 다수의 사용자가 몰리는 곳에서 비정상링크가 삽입되는 상황이 발견되고 있다”며 “하지만 이에 대한 조치는 임시적인 삭제와 같은 방법으로 대응을 하는 상황이라 매주 악성링크가 삽입 되는 현상이 반복되고 있다”고 주의를 당부했다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
최근의 파밍형 악성코드는 지속적으로 파밍 IP를 변경하고 있어서, 초기에 차단하거나 빠른 악성코드 탐지가 이루어지지 않는다면 문제는 계속 될 수밖에 없다. 현재 국내를 대상으로 감염이 발생되고 있는 드라이브 바이 다운로드(Drive by download) 악성코드의 대부분은 바이러스 토탈에 초기에 보고가 안되었거나 보고되었더라도 주요 백신(안티 바이러스)들의 탐지를 기본적으로 우회하고 있는 상황이다.
빛스캔 관계자는 “2015년도에도 취약한 웹사이트를 통한 악성코드 유포는 계속되고 있다. 특히, 최근에는 시기 적절하게 여행사, 성형외과, 파일공유(P2P) 등 다수의 사용자가 몰리는 곳에서 비정상링크가 삽입되는 상황이 발견되고 있다”며 “하지만 이에 대한 조치는 임시적인 삭제와 같은 방법으로 대응을 하는 상황이라 매주 악성링크가 삽입 되는 현상이 반복되고 있다”고 주의를 당부했다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
