세계 최대 검색 사이트인 구글의 구글코드 웹사이트가 악성코드 유포 경로로 이용된 사실이 드러났다.
구글코드를 통해 유포된 악성코드는 3시간만에 국내 40여개 웹사이트를 감염시켰다. 그간 구글코드를 통해 악성코드가 유포된 경우는 몇 번 발견됐지만 국내 웹사이트가 직접 감염된 것은 이번이 처음이다.
빛스캔(대표 문일준)은 개발자들이 주로 쓰는 구글의 코드 호스팅 웹사이트 구글코드에서 악성코드가 유포되는 정황을 포착했다고 16일 밝혔다.
빛스캔은 자사가 운영하는 PCDS(Pre-Crime Detect System)를 통해 취약한 웹사이트에서 악성코드를 내려받을 수 있도록 삽입하는 `다운로드 링크` 중 하나에서 최종 악성코드가 구글코드에서 내려지고 있다는 사실을 발견했다. 빛스캔 PCDS는 동시다발적으로 유포되는 악성코드 링크를 종합적으로 분석, 추출해 멀웨어넷(Malware Net)이라고 부른다. 구글코드에서 유포된 최초 멀웨어넷은 `www.molbbang.com/main.htm`이며, 약 3시간만에 40여개가 넘는 웹사이트에 삽입되는 현상이 관찰됐다.
이 회사 PCDS는 동시다발적으로 유포되는 악성코드 링크를 종합적으로 분석 및 추출한 결과 지난 11일 오후 유포된 지 3시간만에 40여개가 넘는 국내 웹 사이트를 감염시킨 것으로 나타났다. 감염된 국내 웹 사이트는 연예인쇼핑몰, 언론사, 각종 커뮤니티 사이트 등이다.
전상훈 빛스캔 이사는 “구글코드는 구글에서 개발자를 위해 소스코드, 프로그램 등을 서로 공유할 수 있게 하는 공간인데 24시간 중단되지 않는 가용성과 구글이 제공한다는 신뢰성을 악용해 악성코드 유포지로 역이용하는 경우가 있다”며 “최근 이 같은 사례가 자주 발견됐지만 실제 국내 웹사이트를 감염시킨 것이 발견된 것은 처음”이라고 말했다.
빛스캔이 악성코드 파일을 분석한 결과 이 악성코드는 루트킷의 한 유형으로 추정됐으며 감염되면 사용자 PC의 정보를 유출해 PC를 제어하는 등 악성행위를 하는 것으로 밝혀졌다. 또 국내 백신 등에 검색되지 않도록 자기 자신을 숨기며 최종적으로 흔적을 없애 발견을 어렵도록 한다.
전 이사는 “신뢰받는 서비스 사이트에서 내려오는 파일들의 경우 화이트리스트 형식으로 등재돼 탐지 및 보호도구를 우회하는 사례가 많다”면서 “신뢰받는 서비스와 사이트의 경우 의심 없이 사용자에게 전달되고 특이한 이름을 가진 악성링크가 아니기 때문에 발견 및 탐지가 어려운 경우가 생기니 더욱 사용자들의 각별한 주의가 필요하다”고 당부했다.
또 그는 “그간 연예인 기획사, 주요 언론사, P2P 사이트 등 국내 주요 웹사이트에 방문만 해도 악성코드에 감염되는 현상이 극심해지고 있는 가운데 신뢰할 수 있는 사이트가 최종 악성코드를 뿌리는 행위에 이용된다면 피해는 더 심해질 것”이라며 “다양한 감시 통로와 방안을 이용해 대규모 유포 및 감염 시도를 조기 탐지해 대응하는 것만이 현재의 위험을 줄일 수 있다”고 강조했다.
구글코드(Google Code) : 검색 엔진을 개발하는 구글은 사용자 편의성을 위해 지메일, 구글 리더, 구글 닥스 등 여러 서비스를 제공하고 있다. 구글이 제공하는 서비스들은 인터넷만 연결되면 언제든지 메일과 웹 사이트 그리고 문서 등을 읽거나 작업할 수 있는 공간을 제공해 준다. 개발자들의 경우 프로그램 개발과 관련한 소스코드와 파일 등을 개발자 사이에서 공유할 수 있는 구글코드라는 공간을 제공한다.
장윤정기자 linda@etnews.com