국내여행사 접속주의

지난주 토요일 3월 15일, 국내 대형 여행전문 사이트를 통해 악성코드가 유포되는 정황이 포착됐다. 중소형 여행사를 통한 악성코드 유포는 과거에도 여러 차례 있었지만, 이번처럼 대형 여행사를 통한 유포는 지난 2012년 3월 마지막으로 유포된 이후 약 2년 만에 다시 출현한 것이다. 특히 해당 여행사는 국내 여행사중 탑5 안에 드는 대형 여행사로 주말을 이용해 사이트를 방문한 여행객들의 PC가 상당수 악성코드 감염에 노출됐을 것으로 추정된다.
 
해당 여행사를 통한 악성코드 유포는 지난주 토요일 밤 11시부터 일요일 오후까지 이루어졌다. 특히 악성코드 위치가 공용모듈에 삽입되어 있어 어느 페이지를 접속해도 악성코드에 노출되도록 공격해 피해가 클 것으로 보인다.
 
빛스캔(대표 문일준) 측은 “공격에 이용된 자동화 도구는 Caihong Exploit Kit이 사용되었다. Caihong 공격도구는 최근 공다팩과 같이 국내에서 사용비율이 증가되고 있는 추세이며 8개의 취약점을 가지고 있는 것으로 확인되었다”며 “특히 난독화 부분에서는 공다팩과 다른 기법을 사용해 패턴 탐지가 쉽지 않게 되어있기 때문에 차단되는 비율도 적다. 추가적으로 Caihong 공격킷을 통해 다운로드 된 바이너리는 파밍 악성코드를 포함하고 있었으며 그 외에 C&C 연결이 활발히 이루어지는 것을 보았을 때 파밍 이외에 사용할 수 있는 여지가 충분히 있는 위험한 상태”라고 경고했다.
 
더욱이 이번 악성코드 공격은 구글의 스탑배드웨어도 탐지하지 못한터라, 크롬 브라우저를 사용한 이용자 PC도 감염율이 높았을 것으로 추정된다.
 
빛스캔 관계자는 “매주 악성코드 유포지는 증가하고 있으며 공격대상은 방문자가 많고, 영향력이 높은 사이트로 집중되는 현상을 보이고 있다. 사건이나 사고는 위험신호가 일정수준 축적이 되었을 경우 언제든지 발생될 수 있다”며 “문제의 발생 이전 확산단계에서부터 단계적으로 위험을 줄이려는 노력이 반드시 필요하다. 즉 통로차단 같은 사전에 위험을 줄이기 위한 노력들이 선행 되어야 할 것”이라고 조언했다.