[아이티비즈] 지난 2014년 12월 9일 국내 언론사이트에서 발견된 악성코드는 대한항공에서 운영하는 캠페인(“내가그린예쁜비행기”) 서비스에서 유포되는 것이 확인된 바가 있다. 당시 악성코드는 국내 백신 탐지를 우회하는 파밍 악성코드로 분석됐다.

시스템의 관리라는 측면에서 한번 침입을 허용하였을 경우, 원인을 찾아 전체 서비스에서 대응하지 않는 한 주요 시스템들에서 문제는 계속 발생될 수 밖에 없다. 특히, 빛스캔의 PCDS에서 탐지되는 내역은 내부침입 용도도 아니며, 외부 감염 확대를 위한 악성링크로 최종 활용되는 단계이므로 문제의 실상은 더욱 심각하다고 볼 수 있다. 어쩌면 빙산의 일각이 수면위로 노출된 상태라고 할 수 있다.

대한항공의 경우 2015년 1월 20일과 22일에 별개의 대한항공 하위 웹사이트에서 악성파일이 업로드된 상태로 감염에 이용되는 정황이 발견되어, 전체적 관리 및 문제 상황이 수면위로 노출되는 것을 확인 할 수 있다. 해외 공격자들에 의해 국내의 주요 기반시설에 대한 공격들이 계속 시도되고 있는 상황에서 항공 관련 서비스들도 내부의 중요 시스템들과 함께 강력한 점검과 침입 분석, 대응이 병행되어야만 할 것이다.

악성파일의 배포에 이용된 하위 서비스는 <대한항공여행사진공모전> 서비스이며, 차단을 회피하기 위해 국내 서비스에 직접 악성파일을 올려서 중개하는 용도로 사용된 것을 볼 수 있다.

<대한항공여행사진공모전>의 웹사이트를 통해 배포된 악성코드는 20일과 22일에 각기 다른 성격을 가진 파일로 분석됐다. 20일에는 해외서비스인 핀터레스트(PINTEREST)를 이용하는 포트번호별 파밍으로 확인 되었으며, 22일에는 중국최대 소셜 서비스인 qq를 이용하는 파밍으로 분석되었다.최근의 파밍형 악성코드는 지속적으로 파밍아이피를 변경하고 있어서, 초기에 차단하거나 빠른 악성코드 탐지가 이루어지지 않는다면 문제는 계속 될 수밖에 없다.현재 국내를 대상으로 감염이 발생되고 있는 Drive by download 악성코드의 대부분은 [그림 1]과 같이 바이러스 토탈에 초기에 보고가 안되었거나 보고되었더라도 국내 백신들의 탐지를 기본적으로 우회하고 있는 상황이다.

2015년도에도 취약한 웹사이트를 통한 악성코드 유포는 계속되고 있다. 특히, 최근에는 계절적 영향과 겹쳐서 여행사, 성형외과, 파일공유(P2P) 등 다수의 사용자가 몰리는 곳에서 비정상링크가 삽입되는 상황이 발견되고 있다. 하지만, 이에 대한 조치는 임시적인 삭제와 같은 방법으로 대응을 하는 상황이라, 매주 악성링크가 삽입되는 현상이 반복되고 있다.

현재 빛스캔은 국내/외 410여만개(2014년 10월 1일 기준)의 웹 서비스들을 4년 이상 지속적으로 모니터링하고 있으며, 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히, 전 세계에서 공격이 매우 높은 국내의 상황에서 대응을 위해 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있다. 매주 수요일 한 주간의 한국 인터넷 위협현황에 대해 정보를 제공 하고 있으며, 알려지지 않은 위협 (Unknown APT)에 대해 대응을 하는 기업과 기관에게는도움이 될 내용이다.