이처럼 스포츠조선 웹 사이트에 여러 개의 악성코드가 들어가 있었다. 이는 단순히 하나의 악성링크만 들어간 것이 아니라 여러 개가 들어가 있는 것이다. 이같은 정황에 따라 분석한다면 공격자들끼리도 서로를 견제하고 있는 것을 확인할 수 있다.
국내 유명 언론사, 파일공유서비스, 부동산사이트, 연예 기획사 등 접속자가 많은 인터넷 사이트에서 최근 지능형지속위협(APT) 악성코드가 다량 유포된 것으로 나타났다. ▲관련기사 17~19면
이번에 발견된 악성코드는 S, Y, M사 등 언론사 △J, N, M, Z사 등 파일 공유 서비스 △꽃배달, 부동산 관련 사이트 △Y, C사 등 연예 기획사 및 그룹 △중소 규모 40~50여 인터넷 서비스 사이트 등에 동시 배포된 것으로 드러났다.
그간 언론사 사이트, 파일공유 사이트, 연예인기획사 등이 악성코드의 주요 유포지라는 것은 잘 알려진 사실이지만 이번 유포된 악성코드는 기존 악성코드와 차원이 다르다. 해당 악성코드는 루트킷으로 SSDT(System Service Dispatch Table) 후킹, 백신 업데이트 방해를 하는 역할을 하는 것으로 드러났다. 루트킷이란 공격자가 시스템을 해킹할 때 사용자의 PC가 해킹당하고 있음을 알지 못하도록 만들어진 프로그램이다. 시스템에 접근할 때 들키지 않고 공격자가 컴퓨터에서 행했던 흔적을 모두 삭제할 수 있기 때문에 치명적이라는 것이다.
빛스캔(대표 문일준)은 자사 PCDS(Pre Crime Detect System)에서 탐지된 악성링크를 분석한 결과 국내 대표적인 유력 언론, 기업 등 국내 주요 웹 사이트에서 지난 17, 18일 APT 악성코드가 직접 유포되고 있는 것으로 조사됐다고 27일 밝혔다.
해당 악성코드는 마이크로소프트 XML, 자바의 복합적인 취약점을 이용한 공격이었으며 루트킷으로 SSDT 후킹, 백신 업데이트 방해를 하는 역할을 하는 것으로 드러났다.
빛스캔 조사에 따르면 해당 웹 사이트에 접속만 해도 방문자 PC가 각종 애플리케이션(IE, 자바, 플래시)가 최신 업데이트돼 있지 않다면 악성코드에 감염이 되는 상황이었다. 공격자는 주말 동안 탐지를 회피하기 위한 목적으로 악성링크를 삽입과 삭제를 반복하고 비정기적이며 수시적으로 악성링크를 변경했다. 또한 공격자는 좀비 PC를 많이 만들기 위해 랭킹뉴스에 악성링크를 삽입, 악성코드를 유포하고 있다. 모바일도 공격자가 마음만 먹는다면 사용자들의 정보를 빼내갈 수 있다. 현재 언론 등 해당 사이트에서 배포되던 APT 공격용 악성코드는 제거된 상황이다.
전상훈 이사는 “악성코드를 유포한 후 악성코드에 감염된 사용자에게서 얻을 수 있는 정보가 돈이 되기 때문에 공격자들이 경쟁적으로 악성코드를 유포하고 있다”며 “국내 주요 웹 사이트가 돈벌이를 위한 공격자의 전쟁터가 된 것”이라고 말했다. 또 그는 “해당 악성링크는 각종 취약성이 복합적으로 활용돼 공격 성공률은 평균 60% 이상”이라고 설명했다.
해당 사이트에는 자바 관련 취약점인 CVE-2011-3544, CVE-2012-0507, CVE-2012-1723이 악용되고 있고 MS XML 취약점인 CVE-2012-1889가 사용된 것으로 알려졌다. 이미 패치를 발표했지만 각종 애플리케이션, 윈도 업데이트 등을 사용자가 제대로 하지 않아 사용자 PC가 악성코드 감염 위험에 노출돼 있다. 이에 따라 공격에 주로 사용되는 자바, 플래시, 윈도 등을 반드시 최신 버전으로 업데이트해야하며 지난 17, 18일간 해당 사이트를 방문한 사용자라면 반드시 PC를 점검, 피해를 입지 않도록 주의를 기울여야한다.
장윤정기자 linda@etnews.com
