국내 유명 제약회사 D사 인트라넷 악성파일 유포 정황 포착

빛스캔 “제약회사 인트라넷 서비스, 악성파일 다운로드에 직접 이용돼”

쇼핑몰 웹 사이트 내에 악성 URL이 삽입 되어, 국내 유명 제약회사인 D사 인트라넷 웹 사이트가 최종 악성파일을 다운로드 받는 통로로 활용 되었던 정황이 포착됐다.
 
빛스캔(대표 문일준) 관계자는 “공격자는 내부 인트라넷의 모든 권한을 가지고 있는 것으로 추정이 된다. 공격자에게 직원들의 개인정보는 물론 의약정보도 노출되었을 것으로 추정된다”며 “또한 자사의 인트라넷 서버를 활용해서 악성파일을 감염시키게 한 상황이라, 내부 직원 PC들에서도 감염 가능성이 높은 상황”이라고 밝혔다.

<D제약사 인트라넷 웹 서버, 최종 악성파일 다운로드 사이트로 활용>

빛스캔에 의하면, 지난 5월 3일 오후 3시경, D사 인트라넷 웹 사이트에서 최종 악성파일을 다운받아, PC를 감염시킬 수 있는 매개체로 직접 활용된 것이다. 당시 다수의 쇼핑몰 사이트 내에 악성 URL이 삽입 되어 있었으며, 방문한 사용자 PC가 취약하다면 직접 공격을 하고 추가로 악성파일을 받도록 구성됐다. 최종 악성파일은 금융정보를 탈취하는 파밍 기능과 공인인증서 탈취가 주된 목적으로 확인되었다.
 
또 “현재 공격자는 D사 인트라넷 사이트의 제어권한을 모두 가진 상태이며 개인정보 및 제약정보 등 또 다른 정보들의 유출 가능성들도 충분히 의심할 수 있는 상황”이라며 “보통 공격자들은 정보 유출 이후에 최종 활용단계로 악성코드 유포지나 경유지로 활용을 한다는 점을 감안 해볼 때 정보 유출도 의심해 봐야 한다”고 지적했다.