자바 및 어도비 플래쉬 플레이어 취약점 이용해 악성코드 유포 [보안뉴스 김지언] 302 리다이렉션 기법을 이용한 공격이 게임사에 이어 언론사·커뮤니티로까지 퍼져나가고 있다.



 ▲ 302 리다이렉션 기법을 악용한 악성코드의 전파속도가 무섭다. 마치 인간의 몸에 급속도로 확산되는 바이러스처럼.   

지난 8월 광복절 연휴 기간 동안 유명 온라인게임 홈페이지가 302 리다이렉션 기법에 의해 사이트에 접속하면, 악성링크로 강제 이동되고 악성코드가 다운로드되는 사태가 발생했다.

이어 최근 일주일 간은 언론사·커뮤니티 사이트 등에서도 이 같은 현상이 발견되고 있는 등 302 리다이렉션 기법을 악용한 공격이 급속도로 확산되고 있다.

302 리다이렉션이 발생하면 302 Found라는 HTTP 응답코드로 인해 사용자가 원하는 사이트가 아닌 외부 웹서버로 연결된다.

302 리다이렉션 기법은 정부가 음란·유해·북한 관련 사이트에 대한 국내 사용자들의 접근을 막기 위해 해당 사이트 접속 시 유해 차단 사이트로 강제 이동시키는 것과 같은 개념이라고 보면 된다.

이러한 방법으로 악성 웹사이트로 강제 이동된 사용자의 PC가 취약한 자바 및 어도비 플래쉬 플레이어를 이용할 경우 악성코드에 감염된다.

이와 관련 이스트소프트 문종현 부장은 “이용자가 많은 유명 커뮤니티 사이트와 IT 전문매체 등의 언론사 사이트에서 이 같은 현상이 발견되고 있다. 이 기법은 일부 포털사이트를 통해 해당 사이트에 접속할 시에만 악성 웹사이트로 강제 이동되며, 시간대 별로 여러 사이트를 돌며 공격하기에 보안업체들이 탐지하기가 매우 어렵다”고 말했다.

또한, 익명을 요구한 한 보안전문가는 “공격이 발생한 정확한 원인은 밝혀지지 않았으나 이 같은 기법을 통해 악성코드가 유포되는 사이트 중 일부가 동일 CDN을 사용하는 것으로 파악돼 CDN의 권한을 해커가 획득한 것이 아니냐는 가능성이 제기되고 있다”고 밝혔다.
 
CDN(Contents Delivery Network)은 게임 클라이언트나 콘텐츠의 효율적인 전송을 위해 분산된 서버에 데이터를 저장해 사용자에게 전달하는 시스템으로, 만약 CDN의 권한을 해커에 탈취당해 악성코드가 심어졌을 경우 동일한 CDN를 활용하는 웹사이트들의 대규모 피해가 발생할 수 있다.
이에 사용자들은 항상 자바, 어도비 플래쉬 플레이어 등을 최신 버전으로 업데이트해야 한다. 또 백신을 최신 버전으로 업데이트해 주기적으로 검사하고, 최근 출시되고 있는 취약점 공격 사전 차단 솔루션을 설치해 함께 사용하는 것도 피해를 예방할 수 있는 좋은 방법이다.
[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>