2024-03-28 22:05 (목)
위키트리 공용모듈에 악성링크 삽입…PC 및 모바일 모두 위험
상태바
위키트리 공용모듈에 악성링크 삽입…PC 및 모바일 모두 위험
  • 길민권
  • 승인 2015.04.17 18:07
이 기사를 공유합니다

빛스캔 “8일에는 모바일 사용자 타깃, 15일은 PC 사용자 타깃 악성코드 유포”
위키트리에 지난 해에 이어 최근에도 지속적으로 웹사이트에 악성링크가 삽입되어 사이트 방문자에게 악성코드 감염 또는 악성앱을 설치하게 하는 피해를 입히고 있다는 정황이 포착돼 사용자의 주의가 필요하다고 빛스캔 측이 밝혔다.
 
빛스캔(대표 문일준) 확인결과, 지난 4월 8일과 15일, 두 차례에 걸쳐서 악성링크가 위키트리 및 모바일 사이트에 삽입된 정황이 포착됐다. 악성링크가 공용모듈에 삽입되었기 때문에 해당 사이트의 어느 페이지를 방문하더라도 동일하게 감염될 수 있었다는 점에서 심각한 상황이다.
 
특히 두 차례 삽입된 공격에서는 공격대상이 서로 달라서 8일에는 모바일 즉 안드로이드 사용자를 노렸고, 15일에는 PC 사용자를 노렸다는 점이다.
 
자세히 살펴보면, 4월 8일에는 초기 악성링크를 경유해 악성앱(APK) 다운로드를 유도했고, 15일에는 멀티스테이지 기법을 활용해 모바일이 아닌 일반 PC 사용자에게 영향을 주었다. 특히 8일과 15일에 삽입되었던 악성링크가 모두 같은 것으로 확인되었기 때문에 동일한 공격자가 이를 활용한 것으로 추정 가능하다.
 
위키트리를 통해 유포된 모바일 악성앱과 PC 악성코드를 분석한 결과, 둘 다 사용자의 개인금융정보 탈취가 목적인 것으로 확인되었다. 특히 악성앱 같은 경우는 부가적으로 전화번호부, 문자메시지를 탈취해 공격자의 관리자페이지를 통해 실시간으로 살펴볼 수 있는 기능도 포함됐다.
 
빛스캔 관계자는 “모바일의 경우, 알 수 없는 출처와 같은 보안 기능에 대해 설정되어 있다면 악성 앱에 대한 피해가 감소되는 반면, PC와 같은 경우 보안 업데이트가 되어 있지 않은 사용자가 방문했을 때 악성코드에 바로 감염 될 수 있는 가능성이 높기 때문에 보안 업데이트 및 정밀진단을 통해 제거를 해야 하도록 해야 한다”고 조언했다.

 
위키트리를 통한 악성링크 유포 사항은 아래와 같다.
 
◇1차-2015년 04월 08일 14시경(모바일)
thinkid.com/xxx/xxxx.html
-> sovoxxxx.co.kr/xxxxxx/xxxx.php (APK 파일 다운로드)
-> www.xxx.co.kr:81/carecamp/istall.apk (4554065885fa67e58cb88a4ae5e1XXXX)
 
◇2차-2015년 04월 15일 20시경(PC)
thinkid.com/xxx/xxxx.html (멀티스테이지 활용)
-> 98.126.38.xxx/xxxxx.html (CK Exploit Kit)
-> 98.126.38.xxx/xxxxx.html (Sweet Orange Kit)
-> patents-xxx.com/xxxxxx/ab.exe (75A091EC3CDDCBFC184BE22AE765XXXX)
 
지난해 7월 31일 언론매체를 통해 소셜네트워크에 대표적인 뉴스사이트 위키트리를 통해 악성코드가 유포 중이라는 기사를 언급한 바 있으며, 당시 위키트리에서는 18일 일부 사이트에 장애가 있었지만 근본적인 원인을 찾아 제거한 동시에 모니터링을 강화 하고 있다는 공지사항을 사이트에 게시한 바 있다.
 
빛스캔 관계자는 “하지만 악성코드 유포가 지속적으로 이루어지고 있는 것으로 미루어 악성코드에 대한 대책이 제대로 이루어지고 있는지는 의문이 들 수 밖에 없다”며 “단순히 악성링크를 빠르게 제거하는 것에 그칠게 아니라 근본적인 문제부터 해결해야만 매년 발생하는 현상에서 벗어 날 수 있을 것으로 보인다. 그렇지 않을 경우 피해는 접속하는 유무선 사용자에게 돌아 갈 수 밖에 없다”고 설명했다.
 
더불어 “공격자는 매년 새로운 공격기법을 시도하고 있으며 위키트리에서 유포된 방식 역시 이전에는 볼 수 없었던 모습이다. 공격자가 유 무선을 통합적으로 활용하려는 시도는 계속될 것으로 보인다”고 덧붙였다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★