날씨닷컴 사이트, 무려 4년간 악성코드 경유지로 악용
다수의 보안전문가 “파밍과 원격제어 악성코드 오랜 기간 유포”
날씨닷컴 측 “리다이렉션 URL만 삽입...경유지라 근본적 해결 못해”
[보안뉴스 권 준] 국내 대표적인 기상정보 사이트인 날씨닷컴(www.nalsee.com) 사이트가 아주 오랜 기간 악성코드 경유지로 악용된 것으로 드러나 많은 사람들의 피해가 우려되고 있다.
▲ 구글 크롬 세이프 브라우징에 의해 차단된 날씨닷컴 사이트
요즘 같이 아침저녁은 춥고, 낮은 더운 환절기에는 많은 사람들이 수시로 날씨 정보를 체크한다. 뉴스의 기상정보는 물론 별도의 날씨관련 사이트나 앱을 이용하거나 웹사이트에 배너로 삽입되어 있는 날씨정보를 확인하기도 한다. 특히, 날씨닷컴은 자체 웹사이트 외에도 수많은 사이트에 배너 형태로 게재돼 있어 악성코드 경유지로 악용될 경우 사용자들의 감염 피해가 기하급수적으로 증가할 수 있다.
한 보안전문가는 “날씨닷컴이 지난 2013년부터 최근까지 무려 4년 동안 악성코드 유포에 계속 악용되고 있는데도 근본적인 조치가 되지 않고 있다”며, “날씨닷컴 배너를 가져다 쓰는 사이트가 엄청나게 많기 때문에 날씨닷컴 하나만 악성코드에 감염돼도 악성코드를 유포하는 사이트는 수백, 수천 사이트에 달하게 된다”고 우려했다.
그에 따르면 날씨닷컴 배너를 통해 수백여 사이트에서 유포되는 악성코드는 크게 두 가지다. 금융정보를 탈취하는 파밍 악성코드와 RAT 원격제어 악성코드가 바로 그것. 이 두 가지가 번갈아 유포되면서 수많은 PC가 악성코드에 감염되어 공인인증서가 탈취되거나 PC의 제어권한을 완전히 장악당하고 있는 것으로 분석됐다.
더욱이 해당 악성코드는 플래시, 자바, 인터넷 익스플로러(IE)의 취약점을 악용하고 있어 해당 취약점의 보안 업데이트를 하지 않은 PC 사용자가 날씨닷컴 사이트를 비롯해 날씨닷컴 배너가 게재된 웹사이트에 접속했을 경우에도 감염될 확률이 높다.
▲ 날씨닷컴에서 제공하는 배너에 삽입된 악성링크
무엇보다 큰 문제는 날씨닷컴 측에서 근본적인 조치나 해결 없이 문제가 생길 때마다 악성링크만 지우는 임시방편적인 해결책으로 일관하고 있다는 점이다. 더욱이 날씨닷컴 측은 악성코드를 유포한 게 아니라 악성코드 경유지로 악용됐을 뿐이라는 주장을 펴고 있다.
이와 관련 날씨닷컴 관계자는 “KISA에 신고해 방어조치를 취하고 있다. 우리 사이트에 삽입된 것은 리다이렉션 URL일 뿐”이라며, “KISA와 확인한 바로는 파밍 악성코드나 RAT 원격제어 악성코드는 유포하지는 않았다”고 말했다.
이어 그는 “리다이렉션 URL를 통해 해커가 의도한 서버에 연결되면 어떤 작업을 할지 모르기 때문에 우리가 막을 수는 없고, 리다이렉션 코드를 심지 못하게 방어할 수밖에 없다”고 말했다.
그러나 복수의 보안전문가들은 날씨닷컴 측의 근본적인 조치가 필요하다는 의견을 펴고 있다. 4년이 넘는 기간 동안 날씨닷컴을 통해 악성코드가 유포되어 지금까지 누적된 피해자만 해도 수백만 명에 달할 것이라는 우려도 나온다. 심지어 일부 정부기관에서도 날씨닷컴의 날씨배너를 가져다 썼던 만큼 날씨닷컴 뿐만 아니라 KISA 측도 보다 면밀한 점검과 조치에 나서야 한다는 지적이다.
[권 준 기자(editor@boannews.com)]
다수의 보안전문가 “파밍과 원격제어 악성코드 오랜 기간 유포”
날씨닷컴 측 “리다이렉션 URL만 삽입...경유지라 근본적 해결 못해”
[보안뉴스 권 준] 국내 대표적인 기상정보 사이트인 날씨닷컴(www.nalsee.com) 사이트가 아주 오랜 기간 악성코드 경유지로 악용된 것으로 드러나 많은 사람들의 피해가 우려되고 있다.
▲ 구글 크롬 세이프 브라우징에 의해 차단된 날씨닷컴 사이트
요즘 같이 아침저녁은 춥고, 낮은 더운 환절기에는 많은 사람들이 수시로 날씨 정보를 체크한다. 뉴스의 기상정보는 물론 별도의 날씨관련 사이트나 앱을 이용하거나 웹사이트에 배너로 삽입되어 있는 날씨정보를 확인하기도 한다. 특히, 날씨닷컴은 자체 웹사이트 외에도 수많은 사이트에 배너 형태로 게재돼 있어 악성코드 경유지로 악용될 경우 사용자들의 감염 피해가 기하급수적으로 증가할 수 있다.
한 보안전문가는 “날씨닷컴이 지난 2013년부터 최근까지 무려 4년 동안 악성코드 유포에 계속 악용되고 있는데도 근본적인 조치가 되지 않고 있다”며, “날씨닷컴 배너를 가져다 쓰는 사이트가 엄청나게 많기 때문에 날씨닷컴 하나만 악성코드에 감염돼도 악성코드를 유포하는 사이트는 수백, 수천 사이트에 달하게 된다”고 우려했다.
그에 따르면 날씨닷컴 배너를 통해 수백여 사이트에서 유포되는 악성코드는 크게 두 가지다. 금융정보를 탈취하는 파밍 악성코드와 RAT 원격제어 악성코드가 바로 그것. 이 두 가지가 번갈아 유포되면서 수많은 PC가 악성코드에 감염되어 공인인증서가 탈취되거나 PC의 제어권한을 완전히 장악당하고 있는 것으로 분석됐다.
더욱이 해당 악성코드는 플래시, 자바, 인터넷 익스플로러(IE)의 취약점을 악용하고 있어 해당 취약점의 보안 업데이트를 하지 않은 PC 사용자가 날씨닷컴 사이트를 비롯해 날씨닷컴 배너가 게재된 웹사이트에 접속했을 경우에도 감염될 확률이 높다.
▲ 날씨닷컴에서 제공하는 배너에 삽입된 악성링크
무엇보다 큰 문제는 날씨닷컴 측에서 근본적인 조치나 해결 없이 문제가 생길 때마다 악성링크만 지우는 임시방편적인 해결책으로 일관하고 있다는 점이다. 더욱이 날씨닷컴 측은 악성코드를 유포한 게 아니라 악성코드 경유지로 악용됐을 뿐이라는 주장을 펴고 있다.
이와 관련 날씨닷컴 관계자는 “KISA에 신고해 방어조치를 취하고 있다. 우리 사이트에 삽입된 것은 리다이렉션 URL일 뿐”이라며, “KISA와 확인한 바로는 파밍 악성코드나 RAT 원격제어 악성코드는 유포하지는 않았다”고 말했다.
이어 그는 “리다이렉션 URL를 통해 해커가 의도한 서버에 연결되면 어떤 작업을 할지 모르기 때문에 우리가 막을 수는 없고, 리다이렉션 코드를 심지 못하게 방어할 수밖에 없다”고 말했다.
그러나 복수의 보안전문가들은 날씨닷컴 측의 근본적인 조치가 필요하다는 의견을 펴고 있다. 4년이 넘는 기간 동안 날씨닷컴을 통해 악성코드가 유포되어 지금까지 누적된 피해자만 해도 수백만 명에 달할 것이라는 우려도 나온다. 심지어 일부 정부기관에서도 날씨닷컴의 날씨배너를 가져다 썼던 만큼 날씨닷컴 뿐만 아니라 KISA 측도 보다 면밀한 점검과 조치에 나서야 한다는 지적이다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
