공공기관에서 운영하는 웹서비스 및 비영리 단체에서 운영하는 웹 서비스의 권한을 획득한 이후 공격코드를 확산에 직접 이용되는 정황이 지속적으로 관찰이 되고 있다. 빛스캔(대표 문일준)에 따르면, 지난 2월 8일 중부도시가스 웹 사이트 내에 악성코드를 삽입해, 접속만으로 감염이 되는 정황이 PCDS에서 탐지되었다고 밝혔다. 만약 방문자가 보안패치 등 보안에 신경쓰지 않을 경우 악성코드에 감염되었을 가능성이 높은 상황이다.

 
빛스캔에 따르면, 악성코드의 기능을 분석한 결과 금융 관련 공격인 파밍과 백도어 기능을 가지고 있었으며, 발생 초기에는 백신에서 탐지되지 않았고 악성코드가 출현한지 2일이 지난 후에야 백신에서 탐지가 되고 있는 것을 확인할 수 있었다고 전했다. 즉 백신을 가동하고 실시간 탐지를 했더라도 이틀간 무용지물이었었다는 것.
 
일반 웹사이트 보다 상대적으로 높은 보안관리와 감시가 일상적으로 이루어져야 함에도 불구하고기반시설에 해당하는 곳 조차 공격에 이용되었다는 점은 심각한 사안이다.
 
빛스캔 관계자는 “공격자는 이미 웹서버에 대한 권한을 가진 상태라 내부망으로의 침입도 충분히 가능한 상황이며, 연결된 모든 PC와 내부망에 대한 집중적인 점검이 긴급하게 요구된다”며 “기반시설에 대한 침입은 외부로 연결된 통로에서 시작이 된다는 점을 잊어서는 안될 것”이라고 강조했다.
 
일정수준의 보안팀을 운영하는 기업들에서도 문제가 발생하는 상황에서, 보안담당 전문인력이 부족한 지방 공공기관이나 학교 등은 더욱 심각한 상황이다.
 
일반적으로 매주 발생하는 악성코드 유포 형태를 살펴보면, 국내 사용자들이 자주 방문하는 웹 서비스에 악성링크를 삽입해, 사용자가 방문하면 바로 감염을 일으키는 곳(Exploit link)과 연결되어 감염을 일으키게 만드는 DBD(Drive-By-Download) 형태로 구성 되어 있다. 악성링크들의 기능은 금융정보 및 공인인증서 탈취 형 악성코드 이외에도 백도어 및 원격에서 제어할 수 있는 기능들이 기본인 상황이라 감염 즉시 좀비 PC가 된다.
 
정상 페이지로부터 자동 접속되는 악성링크는 사용자 PC의 다양한 어플리케이션의 취약점을 이용하여 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다. 또한 초기 설치되는 악성파일들은 국내에서 사용되는 백신을 우회하도록 제작되어 있어 초기 대응은 사실상 어려움이 많다.
 
빛스캔 측은, 소스가 직접 수정된 서비스의 경우 공격자가 이미 권한을 보유하고 있는 상황이므로, 내부망침입도 의심할 수 있다. 침해사고에 대한 분석과 대응은 관계부처에서 완료했을 것으로 보이지만, 단순히 현상을 제거하는 측면으로 문제를 해결하려 해서는 안된다. 근본적인 원인을 찾고 해결해야 할 것이다. 또한 위험이 관찰되지 않은 원인을 확인해, 향후 관찰에도 반영할 수 있어야 문제가 줄어들 수 있다고 강조한다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com