6일 오후 2시부터 4시간 가량 악성코드 유포 및 감염 중계지 악용 지난해 8월 17,18일 이어 세 번째...철저한 사이트 보안점검 필요! 
[보안뉴스 권 준] 지난 1월 6일 국내 대표적인 스포츠 언론사이트인 스포츠조선 웹사이트(www.sportschosun.com)가 직접적인 악성코드 유포 및 감염의 중계지로 활용된 정황이 포착돼 언론사이트의 허술한 보안관리가 또 다시 도마 위에 오르고 있다.    



자극적인 제목의 스포츠조선 기사가 노출된 네이버 뉴스캐스트 목록. 지난 1월 6일의 경우 오후 2시부터 4시간 가량은 네이버에서 스포츠조선 기사를 클릭하여 사이트 방문시 악성코드 감염비율이 60% 이상이었던 것으로 드러났다.

지난 1월 6일 스포츠조선 웹사이트 악성코드 유포 정황 포착 [자료: 빛스캔]

사용자 방문이 많은 언론사 웹사이트의 보안문제는 본지에서도 여러 차례 지적한 바 있는데, 그 가운데서도 한달 방문자가 1,600만 명에 달하고 방문자 접속률이 가장 높은 국내 웹사이트 50위 안에 있는 스포츠조선이 대량의 좀비 PC를 양산하기 위한 악성코드 유포 및 감염 중계지로 활용됐다는 점에 충격을 안겨주고 있다. 이로 인해 단 몇 시간만 악성코드를 유포해도 가장 많은 좀비 PC를 확보할 수 있는 셈이다. 

사이버공격자들은 사회적 이슈가 있을 때마다 대량의 좀비PC를 확보하기 위해 정상링크 안에 악성링크를 삽입하는 형태를 보이고 있는데, 지난 1월 6일 오후 2시경 스포츠조선 웹사이트의 악성코드 유포정황이 빛스캔의 악성코드 유포탐지 시스템(PCDS)에 의해 포착된 것이다.  



이와 관련 빛스캔 관계자는 “여러 언론사의 웹사이트에서 악성코드를 유포하는 것은 하루 이틀 된 이야기가 아니지만 단순한 악성코드 유포를 넘어 악성코드를 감염시키는 중계지로 활용되는 것은 완전히 다른 차원”이라며, “국내 사이트를 해킹하고 권한을 가진 상태에서 공격코드들을 올려두고 다른 웹 서비스의 공격 및 악성링크로 직접 활용하는 것은 탐지 및 차단을 회피하고자 하는 목적이 가장 크다”고 설명했다. 


빛스캔 측은 공격자는 스포츠조선 내 게시판으로 활용되는 것으로 추정되는 웹서비스의 권한을 획득한 이후, 스포츠조선의 메인 웹서비스 내에도 추가해 직접 악성코드 유포에 이용되는 상태로 분석했다.

이와 관련 빛스캔 관계자는 “특히, 스포츠조선의 경우 지난해 8월 17일과 18일에도 악성코드를 유포했던 적이 있었기 때문에 사이트 자체의 근본적인 문제가 제거되지 않은 것 아니냐는 의구심이 든다”며, “악성코드 유포 및 경로로 활용된 시간은 1월 6일 오후 2시경부터 4시간 정도 유지된 것으로 보인다”고 설명했다.  

IE, 어도비 플래시, 자바 등의 주요 애플리케이션이 최신으로 업데이트 되어 있지 않은 상황에서 이러한 웹사이트에 방문할 경우 이용자들은 악성코드에 감염되어 좀비 PC가 될 가능성이 60% 정도인 것으로 빛스캔 분석결과 나타났다.

공격자는 웹사이트의 모든 권한을 가지고 있기에 수시로 악성링크를 삽입할 수 있다. 일반적으로 공격자들은 지난 농협이나 현대캐피탈의 해킹 사례에서 보듯 내부 정보를 탈취하기 위한 목적으로 공격을 시도하는 경향이 높다. 이어 공격자들의 목표가 달성됐다면 더 이상 쓸모가 없는 웹서비스들은 마지막으로 악성코드 감염을 확대하기 위한 숙주로 이용하는 형태를 보인다는 것.

최종적인 용도폐기 단계에 해당하는 악성코드 감염 확대용 숙주라면 대단히 심각한 상황이라는 게 빛스캔 측의 설명이다.




이와 관련 빛스캔 관계자는 “이번 취약성 공격 이후 설치된 악성코드는 전 세계에서 가장 악성코드 샘플이 많은 VirusTotal에서 확인해본 결과 국내 백신중 일부 백신만 탐지하는 신종 악성코드이며, 국내 사용자가 악성코드 감염여부를 인식하기에는 매우 어려운 상태”라며, “지능적으로 탐지를 회피하기 위해 국내 사이트를 공격하며, 권한이 획득된 국내 사이트를 이용해 또 다른 국내 사이트를 공격하는데 이용하고 있다”고 밝혔다.

덧붙여 그는 “더욱 심각한 문제는 악성코드가 설치 동의 없이 바로 설치되는 Drive-by-Download 공격 형태로 진행되고 있기 때문에 기업·기관은 물론 사용자 모두 문제의 심각성을 인지하고 대응해야 한다”고 강조했다.  

웹 서비스 제공자 측면에서는 상시적으로 보안취약성을 확인하고, 개선할 수 있는 체계를 마련해야 하며, 이용자 관점에서는 공격코드가 활용하는 취약성을 제거하기 위해 자바, 플래시, MS의 보안패치를 항상 최신 수준으로 유지해 공격성공률을 낮추는 것이 관건이 된다는 얘기다.

한편, 이번 스포츠조선의 악성코드 유포정황을 포착한 빛스캔에서는 국내 120만개, 해외 10만여 개의 웹서비스에 대한 악성코드 유포상황을 상시적으로 모니터링하고 있으며, 사전위협 탐지체계를 갖추고 매주 수요일 한 주간의 공격과 위협, 공격코드의 구성과 악성파일의 유형, 자주 이용되는 취약성에 대해서 보고서 형태로 정보를 제공하고 있다.

또한, 국내기업으로는 최초로 해외 정보공유 사이트인 exploit-db 사이트에 KAIST 정보보호대학원과 공동으로 올 하반기에만 4종의 취약성 분석 문서를 공개함으로써 세계적인 역량을 인정받고 있다. 정보제공 서비스에 대한 문의는 이메일(info@bitscan.co.kr)로 하면 된다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>