중부도시가스, 악성코드 누출
중부도시가스, 악성코드 누출
  • 김문구 기자
  • 승인 2015.02.10 18:23
  • 댓글 0
이 기사를 공유합니다

[아이티비즈] 빛스캔(대표 문일준)은 지난 주말에 중부도시가스 홈페이지에서 악성코드가 유포되어 해당 사이트 방문자들이 악셩코드에 감염될 가능성에 노출된 바 있었다고 밝혔다. 특히, 해당 사이트에서는 입금과 같이 금융 거래에 대한 서비스를 제공하고 있어, 공인인증서 유출과 같은 추가적인 피해가 발생할 가능성도 있다고 보여진다고 분석했다.

공공기관망은 외부에서 접속할 수 있는 외부망과 내부 관리자만 접근이 가능한 내부망을 분리시켜 놓는다.공공망이 외부에서 해킹이 되어 일시에 마비되는 일은 현실에서는 잘 일어나지는 않는다. 즉, 내부로 침투하기는 어렵다는 것이 일반적인 예상이다.

그러나 관찰결과를 보면 일반적인 예상과는 다르다. 매주 수요일에 발행되는 인터넷 위협 분석보고서를 보면, 공공기관은 물론이고, 대기업과 중소기업에서 운영하는 웹 사이트에 악성코드를 유포하는 행위가 PCDS에 의해서 매주 관찰이 되고 있으며, 언제라도 영화와 같은 일들이 일어날 수 있는 가능성은 충분히 높다.

사례들 중 하나로 지난 2월 8일 중부도시가스(www.jbcitygas.com) 웹 사이트 내에 악성코드를 삽입하여, 접속만으로 감염이 되는 정황이 PCDS에서 탐지되었다. 방문자가 보안패치 등 보안에 신경쓰지 않을 경우 악성코드에 감염되었을 가능성이 높다. 악성코드의 기능을 분석한 결과, 금융 관련 공격인 파밍과 백도어 기능을 가지고 있었으며, 발생 초기에는 국내 주요 백신에서 탐지되지 않았다. 악성코드가 출현한 지 2일이 지난 후에야 국내 주요 백신에서 탐지가 되고 있는 것을 확인할 수 있었다.

▲ 중부도시가스 웹 사이트에서악성코드 유포 – 2015년 2월8일

중부도시가스는 천안/아산시 및 충청남도 9개 시/군 및 세종특별자치시에 도시가스를 공급해오고 있으며, 천안시청 수지구에 열과 전기를 공급하는 공급자이다. 이 웹사이트를 통해서 요금조회 및 납부조회가 가능한 것으로 확인되고 있다. 일반 웹사이트보다 상대적으로 높은 보안관리와 감시가 일상적으로 이루어져야함에도 불구하고 기반시설에 해당하는 곳조차 공격에 이용되었다는 점은 심각한 사안이라 할 수 있다.

공격자는 이미 웹서버에 대한 권한을 가진 상태라 내부망으로의 침입도 충분히 가능한 상황이며, 연결된 모든 PC와 내부망에 대한 집중적인 점검이 긴급하게 요구되고 있다. 기반시설에 대한 침입은 외부로 연결된 통로에서 시작이 된다는 점을 잊어서는 안 될 것이다.

일정 수준의 보안대책을 운영하는 곳에서도 문제가 발생하는 상황에서, 보안담당 전문인력이 없는 지방 공공기관이나 기업, 학교 등은 더욱 심각한 상황임은 분명해 보인다.

정상 페이지로부터 자동 접속되는 악성링크는 사용자 PC의 다양한 어플리케이션의 취약점을 이용하여 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다. 또한 초기 설치되는 악성 파일들은 국내에서 사용되는 주요 백신을 우회하도록 제작되어 있어 초기 대응은 사실상 어려움이 많다.

소스가 직접 수정된 서비스의 경우 공격자가 이미 권한을 보유하고 있는 상황이므로, 내부망 침입도 의심할 수 있다. 침해사고에 대한 분석과 대응은 관계부처에서 완료하였을 것으로 보이지만, 단순히 현상을 제거하는 측면으로 문제를 해결하려 해서는 안될 것이다. 근본적인 원인을 찾고 해결해야 할 것이다. 또한 위험이 관찰되지 않은 원인을 확인하여, 향후 관찰에도 반영할 수 있어야 문제가 줄어들 수 있다.

빠르게 변화하는 위협에 대응하는 것은 정보의 획득과 관찰이 가장 먼저 되어야 한다. 관찰되지 않는 위협은 관리할 수가 없다. 단 하루의 시간에도 전 세계적으로 공격이 확산되는 상황에서 빠른 정보의 획득과 대응, 실시간에 가까운 공격 관찰은 필수적인 요소가 되어야 할 것이다. 파밍과 같은 금융 관련 공격에 관한, 금융기관에서도 소비자의 인식 강화 측면이외에 금융기관 자체적으로도 문제를 탐지하고, 최소한 악성코드 유포에 직접 이용 되는 상황은 없어야 피해를 줄이고 신뢰를 얻을 수 있을 것이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.