현재는 악성코드 삭제...KISA에서 정밀분석중 뽐뿌 측 설명과 달리 도메인의 자바 스크립트에 악성코드 삽입


[보안뉴스 권 준] 지난 7일부터 많은 회원을 보유하고 있는 국내 최대 쇼핑 커뮤니티 뽐뿌(http://www.ppomppu.co.kr/)를 통해 악성코드가 유포돼 이용자들의 주의가 요구된다.

뽐뿌 운영팀에서는 지난 7일 악성코드가 발견돼 조치가 진행 중이며, 문제 상황에 대해 한국인터넷진흥원(KISA) 측에 전달됐다고 밝혔다. 이와 관련해 뽐뿌 관계자는  “뽐뿌와 연결된 외부 사이트에 문제가 발생된 것 같다”며, “해당기관을 통해 문제가 된 사이트는 뽐뿌 사이트와의 연결이 차단됐다”고 밝혔다.

뽐뿌 측이 악성코드와 관련해서 긴급히 올려놓은 공지문

일반적으로 악성코드는 사용자의 아이디와 비밀번호를 수집하는 것이 통상적이므로, 이 기간 동안 이용한 아이디의 비밀번호를 변경해줄 것을 뽐뿌 측은 당부했다. 단, m.ppomppu.co.kr과 memo.ppomppu.co.kr에 대한 위험보고는 뽐뿌의 하위 도메인이기 때문에 노출되는 부분으로 도메인이 해킹된 것은 아니라고 덧붙였다.

이와 관련 뽐뿌 관계자는 “뽐뿌 가입 시 입력된 주민등록번호는 공인기관인 한국신용평가를 통해 암호 값을 통해 개인 식별을 진행하고 있는데, 이 값은 철저하게 보호 받고 있다”며, “뽐뿌에서는 주민등록번호를 별도로 저장하고 있지 않다”고 설명했다.

그러나 KISA 인터넷침해대응센터의 설명은 조금 다르다. 센터 관계자는 “우리가 보유 중인 악성코드 탐지 시스템이 7일 악성코드 삽입여부를 확인해서 유선통보와 함께 메일을 발송했다”며, “이후 1차 조치가 이루어져 우리 측에서 악성코드를 삭제했다”고 밝혔다.

뽐뿌 측의 경우 지난 7일 KISA 쪽의 통보를 받고 난 후, 오늘 오전에야 분석 요청을 의뢰했다는 것. 더욱 심각한 문제는 뽐뿌 사이트 도메인이 해킹된 것이 아니라는 뽐뿌 측 설명과 달리 뽐뿌 사이트 자바 스크립트에 악성코드가 삽입됐다는 게 KISA 측의 설명이다.

현재 한국인터넷진흥원 인터넷침해대응센터(http://www.krcert.or.kr)에서는 악성코드의 용도 등 상세내용에 대해 분석 작업이 진행되고 있는 것으로 알려졌는데, 만약 웹 서버 로그가 남아있다면 악성코드의 목적과 피해규모 등이 밝혀지면서 커다란 파장이 있을 것으로 예상된다. 

악성코드에 노출되었거나 또는 우려가 있는 경우 반드시 최신 백신을 통하여 검사 및 치료를 진행해야 하며, 백신 프로그램이 없는 경우 보호나라 사이트에 접속하면 온라인 검사가 가능하다.

·온라인 검사 : http://www.boho.or.kr/pccheck/pcch_01.jsp?page_id=1
·무료백신 :  http://www.boho.or.kr/pccheck/pcch_02.jsp?page_id=2
·악성 봇 감염 확인 : http://www.boho.or.kr/pccheck/pcch_03.jsp?page_id=3
 

본지에서는 KISA 인터넷침해대응센터의 분석결과가 나오는 대로 악성코드의 유형과 목적, 그리고 피해규모에 대한 상세한 내용을 추가 보도할 예정이다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>