[아이티비즈] 봄을 맞아 사진인화 서비스 등에 대한 이용이 늘고 있는 가운데, 랭키 기준 국내 1위의 인화서비스를 제공하고 있는 퍼블로그에서 지속적으로 악성 링크가 삽입, 방문자에게 악성코드에 감염되게 해 심각한 문제가 발생하고 있다고 빛스캔(대표 문일준, www.bitscan.co.kr)이 밝혔다. 이어 빛스캔은 "감염될 때 사용되는 악성코드는 국내외 주요 백신을 우회하는 것으로 조회되고 있어, 많은 사용자의 피해가 발생했을 것으로 추정된다"고 말했다.
빛스캔은 "악성코드 감염통로로 여전히 웹 서비스는 강도 높게 이용 당하고 있다. 단순히 웹사이트에 악성링크를 추가하는 방식 이외에도 기존 악성링크를 재활용 및 하위링크의 변화를 주는 방법까지 사용하는 등 좀비PC 확대를 위해 다양한 공격이 발생하고 있다"며 "특히, 사용자 방문이 많고 보안이 취약한 웹사이트를 집중적으로 활용하는 것이 관찰되고 있으며, 최근 온라인인화 서비스로 1위(랭키닷컴)를 기록하고 있는 퍼블로그가 대표적인 사례로 볼 수 있다"고 설명했다.
퍼블로그에서 악성링크가 탐지된 최초 시각은 3월 10일 오전 9시경에 최초 탐지되었으며, 이후 3월 26일까지 모두 13차례에 걸쳐서 악성링크가 공용모듈에 삽입되어 동작한 것으로 확인되었다. 특히, 공격자가 악성링크를 해당 사이트에 삽입했다는 점을 비추어 볼 때 해당 웹서버에 대한 권한을 가지고 있을 가능성이 높다. 따라서, PC 기반의 악성코드의 감염뿐 아니라 추가적으로 개인 정보 유출과 같은 피해 가능성도 있을 수 있다는 것이다.
퍼블로그에 삽입된 악성링크에 대해 자세히 살펴보면, 연결되는 공격코드는 최근 6개의 취약점으로 변경된 CK Exploit Kit의 공격킷이 사용되었다. 또한, 다운로드가 되는 악성코드파일은 파밍 악성코드의 성격을 가지고 있는 것으로 분석되었다. 특히, 해당 악성코드에 감염된 사용자는 공인인증서가 공격자서버로 업로드되고 있었고, 일부 인터넷 사이트 접속시 파밍 배너와 함께 가짜 은행 사이트 연결하는 것으로 확인되었다.
더욱 우려되는 것은 악성코드의 감염된 사용자 입장에서 유일한 보호수단이라 할 수 있는, 백신에서는 퍼블로그에서 유포된 악성코드에 대한 탐지가 거의 불가능한 것으로 보이고 있기 때문이다. <그림 2>는 바이러스토탈 사이트에 악성코드를 업로드를 하여 확인한 내역인데, 탐지 여부가 아닌 샘플 업로드 자체도 된 적이 없다는 점은, 신규 악성코드가 대응이 전혀 되지 않았다는 것으로 볼 수 밖에 없다. 즉, 백신이 설치되어 있더라도 악성코드에 감염됐을 가능성이 있다는 뜻이다.
현재 퍼블로그를 통한 악성링크의 삽입은 모두 제거된 상태이지만, 근본적인 통로에 대한 문제점을 수정하지 못한다면 해당 문제는 반복해서 발생할 수 밖에 없기 때문에 지속적으로 지켜 볼 필요가 있다.