유명 커뮤니티 포털 활용한 악성코드 유포...주의

“악성코드 공격자, 새로운 웹사이트 발굴해 활용하는 것으로 추정”

3월도 악성코드 유포 기세는 맹렬하다. 지난 3월 15일부터 16일까지 주말을 통해 커뮤니티 포털 디시인사이드에서 2004년부터 서비스를 시행한 디시뉴스 웹 사이트를 통해 악성코드가 유포된 정황이 포착됐다.

<디시뉴스를 통해 삽입된 악성링크. 3월 16일. 빛스캔 제공>

 
빛스캔(대표 문일준) 관계자는 “디시인사이드는 커뮤니티 포탈로 독보적인 위치를 차지하고 있으며, 일 방문자 170만 명에 이를 정도로 인기가 높은 커뮤니티라고 할 수 있다. 특히 주말 같은 경우는 더욱 많은 방문자가 몰리는 현상이 나타나기 때문에 더 많은 사용자가 악성코드에 노출 되었을 것으로 보인다”고 경고했다.
 
더불어 “유포에 활용된 악성 링크는 다단계유통망(MalwareNet)의 하나로 확인되었다. 또한 디시뉴스 이외에도 최소 10개의 웹사이트에서도 동일한 악성 링크가 나타났으며, 이를 통해서 전국적으로 악성링크를 통한 악성코드 감염이 많았을 것으로 추정된다”고 덧붙였다.

빛스캔 자료에 따르면, 디시뉴스를 통해 유포된 악성코드를 살펴보면 경유지를 통해 연결된 악성코드 유포지는 B클래스의 대역폭을 이용한 정황이 발견됐으며, 공격에는 카이홍 공격팩이 사용되었다.
 
카이홍 공격킷은 한국에만 집중적으로 사용되고 있는 공격도구 중 하나이며 초기에는 CK VIP로 많이 알려져 있었으며 이 후 카이홍이라는 이름으로 변형되어 국내에 다수 출현하고 있다. 공격도구는 다중 취약점을 이용하는 만큼 보안패치가 완벽하지 않는 사용자는 바로 감염될 수밖에 없다. 감염시 사용자 PC가 공격자에게 넘어가게 되어 파밍이나 원격 제어 등 다양한 공격에 노출될 수 있어 위험하다.
 
빛스캔 측은 “현재 보유하고 있는 악성링크 DB를 조회해본 결과, 최근에 디시인사이드 및 디시뉴스에 악성링크가 출현한 적이 없는 것으로 확인되었다”며 “이러한 의미는 최근에 인터넷 위협의 고조와 함께 공격자가 새로운 웹사이트를 발굴해 사용하는 것으로 추정된다”고 밝혔다.

한편 구글이 제공하는 악성링크 DB를 활용하는 크롬, 사파리 브라우저에서도 탐지하지 못하는 상황이다. 따라서 크롬 브라우저 유저라도 악성코드에 감염될 가능성이 있어 각별한 주의가 필요하다.
 
빛스캔 관계자는 “웹사이트 관리자는 웹사이트에 대한 보안을 더욱 강화하고 악성 링크와 같이 웹 컨텐츠의 변조 여부를 수시로 확인할 수 있는 방안 또한 고려해야 한다”고 조언했다

출처 : 데일리시큐