게임유저 방문 많은 데일리게임에 계정탈취용 악성링크 삽입돼  
[보안뉴스 권 준] 게임유저들이 많이 접속하고 있는 데일리게임 웹사이트(www.dailygame.co.kr)에서 지난 8월 4일부터 게임계정탈취용 악성코드를 유포하고 있어 주의가 요망된다. 

데일리게임 악성코드 유포(8월 4일 0시 34분) [자료 : 빛스캔]
데일리게임은 설립된지 4년 차의 중소규모 게임 커뮤니티 사이트로 지난 8월 4일부터 게임 계정탈취용 악성코드를 유포하고 있으며, 현재 악성코드는 다운받아지지는 않지만 악성링크는 여전히 삽입되어 있는 상태인 것으로 알려졌다. 이로 인해 공격자들이 악성코드를 올리기만 한다면 데일리게임에 접속하는 사람들은 악성코드에 감염될 확률이 매우 높다는 게 악성링크를 처음 발견한 빛스캔 측의 설명이다. 
만약 이 사이트에 접속한 유저의 PC에 최신 보안패치가 제대로 되어 있지 않을 경우 악성코드에 감염이 이루어지고 이를 통해 공격자는 유저의 게임계정을 탈취할 수 있는 상황인 것. 특히, 해당 사이트에 방문만 해도 이용자가 느끼지 못하는 사이에 자동으로 악성코드에 감염되는 상황이기 때문에 게임유저들은 해당 사이트 접속을 하지 않는 것이 안전하다고 빛스캔 측은 밝혔다.



악성링크 삽입 유형1 (69.46.88.xxx/pic/xxx.js) [자료 : 빛스캔]

악성링크 삽입 유형2 (175.115.xx.xxx/xxxx.html) [자료: 빛스캔]
현재 데일리게임 웹사이트에는 2개의 악성링크가 삽입되어 있는 상황으로, 현재는 악성코드가 다운받아지지 않지만 악성링크는 여전히 삽입되어 있는 것으로 드러났다. 공격자가 원한다면 언제라도 악성코드를 삽입할 수 있다는 얘기다.




데일리게임 악성링크 구조(2012년 8월 4일) [자료 : 빛스캔]
빛스캔에 따르면 해당 악성링크는 각종 취약성들이 복합적으로 활용되어 공격성공률을 높이고 있다. Java 관련된 취약점인 CVE-2011-3544, CVE-2012-0507, CVE-2012-1723이 악용되고 있고, MS XML 취약점인 CVE-2012-1889가 사용된 것으로 알려졌다. 이미 패치를 발표했지만 각종 애플리케이션, 윈도우 업데이트 등을 사용자가 제대로 사용하지 않아 사용자 PC가 위험에 노출되어 있는 것. 이에 공격에 사용되는 주로 자바, 플래시, 윈도우 최신 업데이트가 반드시 필요하다.

최종 사용자 PC에 설치되는 악성코드는 국내 다수의 게임계정을 해킹하는 용도로 사용되는데, 최종 설치파일은 mm.jpg이며 usp10.dll 파일 변조 및 DLL 인젝션을 통해 각종 국내의 유명 게임들이 실행될 경우 시스템 레벨에서 계정정보를 탈취하는 역할을 수행한 것으로 드러났다.



드라마 ‘유령’ 속에 등장하는 성인 동영상에 악성코드 삽입 장면 [ 출처 : SBS 드라마 '유령' 홈페이지]

이와 관련 빛스캔의 조근영 연구원은 “최근 인기리에 방영되고 있는 ‘유령’에서처럼 공격자들이 DDoS에 악용된 좀비 PC들을 확보하기 위해 성인동영상 안에 악성코드를 위장하는 형태도 있지만, 현재는 웹페이지에 접속하는 것만으로도 즉, Drive by Download 방식을 통해서 좀비 PC로 변할 수 있다”며, “보안관리자들이 퇴근한 시점인 금요일 저녁부터 시작되는 공격이 매주말마다 반복되는 게 현실”이라고 안타까워했다.


악성코드 유포의 의미(출처 :http://www.facebook.com/bitscan)
이렇게 악성링크가 삽입됐다는 건 이미 서버에 대한 권한을 공격자가 가지고 있거나 적어도 웹쉘 등을 통해 원격조정이 가능하다고 추정할 수 있다. 또한, SQL Injection과 같은 웹 취약점을 통해 공격이 발생했다면 DB 노출도 의심해 볼 수 있다. 이 때문에 해당 커뮤니티 회원들은 아이디와 비밀번호가 게임계정과 동일한 경우 더욱 위험하므로 반드시 아이디와 비밀번호를 수정해야 한다.

현재 국내에는 게임과 관련한 여러 게임 커뮤니티가 존재하고 있는데, 다른 게임 커뮤니티 사이트도 안전지대가 아니라고 할 수 있다. 공격자들은 게임 유저들이 많이 접속하는 게임 커뮤니티를 집중적으로 공략하기 때문에 이러한 게임 커뮤니티는 게임 유저들을 위해 보안을 좀 더 철저히 할 필요가 있다는 게 빛스캔 조근영 연구원의 설명이다.

데일리게임 웹 사이트 전체의 보안성이 개선되지 않는다면 악성코드 삽입은 계속될 것으로 보인다. 인터넷 보안의 모든 부분에서 위험을 줄이기 위해 노력을 강화해야 할 필요성이 있는 것. 현재 들어있는 악성코드 파일만 삭제한다고 해서 근본적으로 해결될 문제가 아니라는 얘기다. 

이와 관련 조 연구원은 “현재 가장 크게 문제가 되는 것은 웹페이지 접속만으로 대량 좀비 PC가 양산된다는 점”이라며, “이러한 대량 유포 시스템을 제거하기 위해서는 악성코드 유포에 이용되는 많은 웹 서비스들의 문제점을 개선하는 것과 함께 대규모 확산 이전에 차단하는 노력이 병행되어야 한다”고 덧붙였다.

데일리게임에서 취할 수 있는 대책으로는 공격자가 인위적으로 웹 소스를 변경하지 못하도록 취약성을 제거하는 것이 필요하다고 빛스캔 측은 설명했다. 이것이 힘들다면 데일리게임 등 방문자가 많은 사이트들에게는 일정 수준의 법적 규제조치와 함께 선제적이고 긴급한 대응이 상시적으로 이루어져야 한다는 것이다.

이러한 악성코드 유포지는 빛스캔(https://scan.bitscan.co.kr)의 유포지 확인 서비스에서 확인해볼 수 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>