[아이티비즈] 최근 이슈가 되고 있는 공유기 파밍에 대해서 미래창조과학부에서도 대책을 수립하고 있는 가운데, 빛스캔(대표 문일준)은 국내 공유기 회사의 대명사로 불리는 ipTIME 웹사이트에 악성코드가 업로드되어 유포에 직접적으로 활용된 정황이 파악됐다고 밝혔다(ipTIME은 EFM-Networks가 생산하는 인터넷 공유기 상품이름).

악성코드 감염을 통한 위협은 날이 갈수록 심각해 지고 있다. 근래에도 여러 공유기를 통한 파밍 사이트 전환과 공유기를 직접 이용한 DDoS 공격이 발생되는 상황이다.

기존에는 제품의 업데이트를 이용하거나, 파일 공유 사이트의 업데이트 모듈들을 이용하는 것과 같이 대규모 좀비PC 확보를 위해 공격자들은 다양한 시도들을 계속 하고 있다. 만약 공유기 제조 업체를 공격하여 업데이트 모듈을 변조한다면 피해는 상상을 넘게 될 것이다. 국내 점유율이 매우 높은 공유기의 경우 사실상 인터넷 마비와 같은 현실도 즉시 나타날 수 있을 것이다.

공유기 제조 업체의 웹서비스에 악성코드가 올려지고, 감염에 이용되는 상황이라면 앞으로 어떤 일이 발생될 수 있는지는 상상하기 나름일 것이다. 최근 공유기를 이용한 공격이 빈번한 상황에서 3월 08일 19시경 ipTIME 웹사이트에 악성코드 파일이 업로드되어 감염에 이용되는 상황이 확인됐다.

최근 공유기의 보안 취약성과 관리의 허술함으로 인해 문제점이 제기됐고, 국내 대다수의 공유기 제품이 중국 해커들에 의해 대거 해킹되어 공유기를 이용한 파밍에 악용되는 사례들이 언론을 통해서 끊임없이 지적되고 있는 상황이다. 하지만, 이러한 개선 요구에도 불구하고 공유기 보안이슈는 쉽게 개선되고 있지 않은 가운데 국내 대다수가 사용하고 있는 ipTIME 웹사이트가 해킹 당했다는 점은 매우 심각한 사안이라고 할 수 있다.

ipTIME에서 유포된 악성코드를 분석한 결과 트로이목마 유형으로 고스트RAT(Gh0st RAT)이라는 원격제어 도구도 함께 설치된다.게다가,파밍 및 공인 인증서 유출 기능도 포함돼 있어 금융 소비자의 피해가 막대할 것으로 추정된다.

악성코드를 직접적으로 유포하는데 이용된 악성링크는 모 쇼핑몰 웹사이트에 삽입되었으며, 경유지 2곳을 이용해 최종 악성코드 다운로드 링크로 활용이 된 것으로 PCDS(Pre-Cyber Crime Detect Satellite)에서 분석됐다. 분석결과, 국내 백신에서는 적절히 대응하지 못하고 있으며, 금융 공격 중 하나인 파밍 공격으로 확인됐다.

악성 파일은 해당 시간에 전세계 유수의 백신의 탐지 결과를 일목요연하게 제공하는 바이러스토탈(VirusTotal)에 조회해본 결과,국내의 다수 백신 제품이 제대로 탐지하지 못하는 것으로 나타났다. 이를 통해 볼 때, 공격자들은 백신의 탐지 여부를 미리 준비한 것으로 추정된다.

특히, ipTIME 웹사이트는 악성링크 삽입을 통해 유포에 활용된 것이 아니라, 악성 파일 자체가 웹사이트에 올려져 있는 것으로, 이 또한 공격자가 해당 웹 서버에 파일을 업로드 할 수 있는 취약점을 이용하거나 관리자 권한을 가진 것으로 추정되며, 제품의 업데이트 자료나 펌웨어의 변조 등을 통한 2차 감염을 노릴 수 있는 추가적인 위험성도 가지고 있어 빠른 대응이 필요한 실정이다.

또한, 단순히 해당 웹사이트에 대한 보안 개선뿐만 아니라 인터넷 이용자들의 감염 및 그로 인한 피해를 예방하기 위해서는 악성 URL에 대한 신속한 탐지 및 대응, 금융 이용자들에 대한 인식 개선이 최선의 방안으로 볼 수 있다