국내 유명 게임 커뮤니티 통한 파밍 악성코드 유포...주의

공격도구는 카이홍과 공다팩 사용...파밍과 백도어 기능 포함

지속적으로 학원, 파일공유, 병원, 커뮤니티 등을 통한 악성코드의 감염이 활발하게 진행되고 있다. 또한 서비스 방문자들이 많은 게임 관련된 커뮤니티도 예외는 아니다. 최근 2~3주 가량 지속해서 악성코드 감염이 발생되고 있어 사이트 이용자들의 각별한 주의가 요구된다.

 
국내 대표적 게임관련 커뮤니티인 게임XX와 포XX를 통한 악성코드 유포가 계속되고 있는 상황이다. 이중 포XX의 경우 현재 5월 1주차까지 계속 되고 있다. 이들 사이트는 4월초부터 악성코드의 유포지로 활용되었으며 포XX는 현재도 간헐적으로 저녁, 새벽시간 때에도 악성코드 유포가 계속되고 있다.
 
빛스캔(대표 문일준) 측은 “게임관련 커뮤니티인 두 사이트의 최근 유포이력을 살펴보면 게임XX는 4월 14일 오후까지, 포XX는 5월 6일까지 악성코드의 영향을 받았으며 일부는 대량 감염을 위해 형성된 다단계유포망과 결합해 유포되는 현상도 관찰되었다”며 “활동범위를 살펴보면 평일에는 저녁부터 새벽, 주말에는 주로 아침부터 저녁까지 악성링크만 교체하는 형식으로 유포가 이루어졌다. 특히 주말에 유포하는 과정에서는 카운터링크를 먼저 삽입해 사용자에 대한 접속량을 지켜보는 치밀함도 관찰되고 있어 순간적으로 감염이 되도록 하는 상황도 관찰되고 있다”고 우려했다.
 
두 사이트에 이용된 공격도구는 카이홍(Caihong Exploit Kit)과 공다팩(Gondad Pack)이 사용되었다. 특히 악성링크가 교체되는 과정에서 기존에는 공격도구는 바뀌지 않았으나 이번에 이용되는 과정에서는 공격도구도 함께 바뀌는 모습도 관찰되었다. 이들은 모두 파밍 악성코드로 확인되었다. 또 파밍 악성코드 기능 외에도 원격에서 통제되는 백도어 기능도 동시에 가지고 있는 상태다.
 
빛스캔 관계자는 “최근 금융정보를 목표로 하는 파밍 악성코드는 은행, 카드사, 오픈마켓까지 파밍 플로팅 광고에도 사용되는 만큼 사용자들의 주의가 필요하다”며 “올해 초에 발생되었던 대규모 카드 정보 유출을 빌미로 정보 강화를 하는 형태도 발견된 상태다. 최근에는 모바일에서의 APK 파일 설치 없이 카드 정보를 입력 받는 사이트로 자동 연결시키는 형태도 나타나고 있어서 위험성은 유.무선을 가리지 않고 나타나고 있다”고 경고했다.
 
또한 “이들 커뮤니티 이외에도 중소 게임사들을 대상으로한 악성코드 유포 시도들도 여러 차례 4월 이후 발견이 되고 있다. 웹서비스를 통해 악성코드가 유포되거나, 최종 악성파일이 업로드 되는 상황은 이미 공격자가 내부에 대한 접근 권한을 가진 상황이라고 볼 수 있다”며 “즉 많은 비용을 들여서 개발한 게임 관련된 컨텐츠와 소스들이 손쉽게 공격자의 수중에 들어갈 수 있는 상황임을 염두에 두어야만 할 것이다. 일반적으로 게임사들에서도 게임 사용자 모니터링을 위해 게임 커뮤니티 방문이 많을 수밖에 없는데, 내부에 유입된 좀비PC들에 감염이 되었는지 여부를 확인 할 수 있어야 피해를 예방 할 수 있을 것”이라고 밝혔다.