주말이 시작되는 8일 국내 웹사이트의 악성링크 현황 분석해보니...
[보안뉴스 김경애] 2016년 두 번째 주말이 시작되는 8일 사진인화 사이트를 비롯해 유명 스포츠 의류 사이트, 관광관련 사이트 등에서 악성링크가 발견됐다. 다음은 악성링크가 발견된 국내 웹사이트 현황을 분석한 결과다.
1. 사진인화 사이트인 X블로그
먼저 사진인화 사이트인 X블로그에서 파밍용 악성코드가 유포됐다. 이와 관련 하우리 최상명 CERT 실장은 “많은 사람들이 이용하는 사진인화 블로그에서 악성코드를 유포하고 있다”며 “악성코드 유포는 오전 10시 경쯤 새로운 악성코드로 교체돼 유포되고 있다”며 사이트 이용에 주의를 당부했다. 특히, 해당 사이트에서 유포하는 파밍 악성코드에 감염되면 가짜 금융기관 사이트로 연결돼 공인인증서 등 금융정보가 탈취될 수 있다고 덧붙였다.
해당 사이트는 멀웨어 차단 프로그램(Malwarebytes Anti-Malware)을 도입 설치해 현재는 정상적으로 운영하고 있으며, 서버 교체 및 실시간 필터링을 통하여 보안 모니터링을 강화하고 있는 것으로 알려졌다.
해당 사이트 관계자는 “국내 실정상 전문 해커들의 침입에 대비하기가 녹록하지 않은 상황이지만, 이러한 상황을 미연에 방지하기 위해서는 실시간 보안관제가 필요하다는 걸 느끼게 됐다”며, “이번 사건이 웹사이트 보안에 대해 한번 더 경각심을 일깨우는 계기가 되었고, 앞으로도 많은 보안전문기관에게 협조를 구해 다양한 대비책을 강구할 예정”이라고 말했다.
2. 아XX스포츠 사이트
아XX스포츠 사이트에서 악성링크가 발견됐다. 해당 사이트에서는 사용자 정보 체크, 카운트 정보, 사용자 쿠키 체크, CAB 파일 서명 정보를 체크하는 것으로 분석됐다.
이를 본지에 제보한 메가톤은 “공격자가 임시폴더에 자동으로 HTML 등 여러 단계를 거치며 여러 개의 악성파일을 자동으로 다운로드 받게 되도록 악성링크를 제작했다”며 “이는 공격자가 악성링크가 쉽게 탐지되지 않도록 여러 과정을 거쳐 다운로드 받도록 한 것이며, 취약점 패치가 되어 있지 않는 사이트 방문자는 악성코드에 감염될 수 있다”고 말했다.
3. XX관광협회중앙회 사이트
XX관광협회중앙회 사이트에서도 악성링크가 포착됐다. 해당 사이트에서는 사용자 쿠키 체크, 사용자 추적 코드, 사용자 정보 확인, 서명 EXE 파일이 포착됐으며, CK VIP 익스플로잇 킷 공격이 감지됐다.
해당 사이트에는 6개의 악성파일이 삽입되어 있어 최신버전이 아닌 자바 프로그램을 사용할 경우 악성코드에 감염될 가능성이 높은 것으로 조사됐다.
4. 국내 IP 악용한 일본 유명 19금 사이트
이어 국내 IP를 악용한 일본 유명 19금 사이트에서 악성링크가 발견됐다. 해당 사이트의 경우 사용자 쿠키 체크, 사용자 정보 체크, 사용자 추적 코드, CK VIP 익스플로잇 킷 공격이 감지됐다.
특히, 이번 건은 국내 IP를 악용한 해외 사이트에서 악성코드가 유포되고 있다는 점이다. 해당 사이트의 경우 플래시, 자바, 윈도우 취약점이 있는 사용자는 악성코드에 감염되도록 설계되어 있는 것으로 알려졌다. 또한, 사이트 차단을 대비하는 한편, 국내 사용자들에게 악성코드를 유포시키기 위해 국내 IP를 악용한 것으로 보인다는 분석이다.
5. 유네스코XX위원회 사이트
7일에는 유네스코XX위원회 사이트에서 악성코드 유포 정황이 발견됐다. 이와 관련 제로서트(닉네임)은 “전세계 개발자들이 자주 이용하는 XX스트빈 사이트에서 악성 스크립트를 올려놓고 악성코드로 공격했다”며 “자바스크립트 reverse 함수를 사용해 난독화를 시켰다. 이는 유네스코XX위원회와 XX스트빈 서비스와 같은 공신력 있는 곳을 이용해 탐지 시스템을 우회하기 위한 것으로 보인다”고 분석했다.
6. XXX투어
XXX투어의 경우 7일 악성링크가 발견됐다. 이에 대해 보안전문가 Auditor Lee는 “해당 사이트의 경우 지난 1일에도 파밍용 악성코드가 발견된 바 있다”고 밝혔으며, 제로서트의 경우 “7일 오후에는 apk파일 유포까지 포착됐다”고 말했다.
7. 디페이스 해킹
이와 함께 XXX네트웍스, XXX원테크, XX외국인근로자센터, XXLED마트 블로그 사이트가 디페이스 해킹을 당한 정황이 포착됐다.
특히, 해당 사이트들은 같은 화면이 삽입돼 동일한 공격자에 의해 디페이스 해킹을 당한 것으로 분석되고 있다.
8. 악세사리 관련업체 X토 사이트
7일에는 악세사리 관련업체인 X토 사이트에 악성링크가 발견됐다. 해당사이트에 접속하면 XX화물자동차운송주선사업협회로 연결되며, 악성링크 경유지로 악용되는 것으로 드러났다.