빛스캔 “4월 1일부터 2일 오전까지 약사XX에 악성링크 삽입 정황 포착”
의료 기록과 투약정보 등이 입력되는 PC들이 악성코드에 감염돼 원격에서 악의적 해커에 의해 조정이 가능하다면 어떻게 될까.또한 모든 정보가 집결되는 병원의 중앙 서버로도 이미 권한이 있는 PC와 인증서를 이용해 접근한다면 의료기록 및 환자 개인정보 유출로 이어질 수 있어 심각한 상황이다.
빛스캔(대표 문일준) 측은 “지난 2014년 8월부터 국내에 유포되는 악성코드의 주요 특징 중의 하나가 바로 의료용 정보를 수집하는 정황이 발견됐다”며 “당시 대학병원부터 소규모병원 웹사이트에 다수의 악성링크가 삽입되어 의료업종 관계자 등 사이트를 방문하는 많은 사용자에게 영향을 준 사안이 발견된 바가 있다. 당시 사용자의 피해가 많았던 사이트 중에는 약사XX을 들 수 있는데, 모든 방문자를 대상으로 악성코드가 유포되어 결과적으로 많은 약국의 PC가 악성코드에 감염된 것으로 알려졌다”고 전했다.
또 “실제로 악성링크를 추적한 결과, 공격자 서버에서 병원이나 약국과 같은 의료 목적의 인증서들이 다수 발견된 정황도 확인된 바가 있다”며 “특히, 약사XX의 일부 사이트 기사가 수 많은 약국에 설치되어 있는 PM2000과도 연동되어 피해가 상당했을 것으로 추정된다”고 설명했다.
약사XX을 통해 악성코드 유포 사건 발생 이후 신속한 조치를 취했다고 했지만 4개월이 지난 현재까지도 근본적인 원인 파악이 해결되지 않은 것으로 보인다.
빛스캔 관계자는 “4월 1일부터 2일 오전까지 해당 사이트에서 악성링크가 삽입된 정황이 다시 확인되었다. 최초 발견은 4월 1일 자정부터 오전 12시까지 약 12시간 동안 악성링크가 추가되어 있었다”며 “웹사이트에서 핵심적으로 이용되는 공용모듈에 악성링크가 삽입되어, 특정 웹페이지에 방문하더라도 모두 악성코드에 감염될 수 밖에 없었으며, 오후 1시경에 해당 파일을 조치하면서 문제가 해결된 것으로 보였다. 그러나 2일 오전부터 새로운 공용모듈을 활용해 악성링크가 삽입되어 또다시 악성코드를 유포하는데 이용되었다”고 경고했다.
즉 초기 침입 인지 시점에서 근본적인 침입 경로 차단과 문제해결에는 실패한 것으로 파악된다.
회사 측이 확인결과, 약사XX에 삽입되었던 악성링크를 추적해 보니 CK Exploit Kit과 Sweet Orange Kit을 모두 활용한 멀티스테이지 공격으로 확인되었다.
멀티스테이지 공격은 각각 이용하는 취약점이 다르기 때문에 단일 공격킷으로 활용한 것보다 감염 가능성이 높다고 할 수 있다.
즉, 윈도우, 어도비 플래시, 자바 중 어느 하나라도 취약한 버전을 사용하는 경우 감염될 수 밖에 없는 매우 높은 감염률을 가진 것으로 분석됐다.
더욱 우려되는 것은 감염된 악성코드를 분석한 결과 지난 해에 출현한 악성코드와 마찬가지로 금융 공격 중의 하나인 파밍 악성코드인 것으로 확인되었다.
빛스캔 측은 상당수의 인증서가 유출될 가능성이 있으며, 더욱이 의료 관련 프로그램을 이용하기 위해 필수적으로 사용되는 의료용 공인인증서 유출도 우려되는 상황이라고 전했다.
약사XX 웹사이트를 통해 유포된 사항은 아래와 같다.
◇1차 유포 – 04.01 00:27
www.kpaxxxx.co.kr/xxxxxxx/xx/xxxxxxx.js
→174.xxx.xx.154/index.html (탐지)
◇2차 유포 – 04.01 10:47
www.kpaxxxx.co.kr/xxxxxxx/xx/xxxxxxx.js
→ 174.xxx.xx.158/t.js
→ 174.xxx.xx.158/index.html (Caihong Exploit Kit)
→ 174.xxx.xx.155/sb.html (Sweet Orange Kit)
◇3차 유포 – 04.02 06:30
kpaxxxx.co.kr/xxx/xxxxxxx/xx/xxxx_xx.js
→ 174.xxx.xx.157/t.js
→ 174.xxx.xx.157/index.html (Caihong Exploit Kit)
→ 174.xxx.xx.157/sb.html (Sweet Orange Exploit Kit)
빛스캔 측은, 약사XX 서비스 경우 내부 피해는 파악할 수 없지만, 전체적인 권한을 공격자가 탈취한 것으로 판단되는 상황이라 단순히 페이지를 임시 삭제하는 것으로는 대응을 마쳐서는 안되는 상황이라고 권고했다. 원인에 대한 문제 수정이 없을 경우 그 피해는 해당 사이트를 방문하는 이용자와 함께 의료기관 종사자에게 돌아 갈 수 밖에 없다. 약사XX은 대한약사회 관련 사이트다.
회사 관계자는 “2015년에도 웹을 활용한 악성링크 삽입 및 유포는 더욱 심화 될 것으로 보인다. 특히, 공격자들은 알려지지 않은 악성코드를 이용해서 공격을 계속 시도하고 있기 때문에 공격 성공률이 매우 높은 편”이라며 “이를 방지하기 위해서는 보다 전문화된 악성코드 실시간 탐지를 활용하여 취약한 웹 사이트를 찾아내어 사후가 아닌 사전에 차단되어야 하며, 지속적으로 문제점이 무엇인지를 생각해 봐야 할 것으로 보인다”고 강조했다.
이번 약사XX의 악성코드 유포 정황은 관계 기관인 보건복지부의 철저한 조사와 후속조치가 필요한 상황이다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
