[보안뉴스 김경애] 많은 국내 사이트에서 공격자들이 뿌려놓은 각종 악성URL이 여전히 포착돼 이용자들의 주의가 요구된다. 공격자는 최대한 많은 정보 탈취와 공격 목적을 달성하기 위해 국내 웹사이트를 볼모로 삼는다. 때문에 보안전문가가 없거나 투자하기 어려운 중소기업이나 소상공인 웹사이트부터 보안의식이 부족한 중대형 기업까지 여기저기서 악성코드가 들끓고 있다.
|
| ▲ 지난 16일 악성URL이 삽입된 스킨스쿠버 동호회 사이트 캡처화면 |
중소기업 웹사이트, 악성URL 기승
지난 16일에는 스킨스쿠버 동호회 사이트에 www.**52*.com/test.htm 악성URL이 삽입된 정황이 포착됐으며, 레저산업관련 연구소 사이트에서도 악성URL이 발견됐다.
이보다 하루 앞선 지난 15일에는 디저트 카페 사이트에서 악성스크립트를 포함해 사용자 쿠키 정보와 사용자 정보를 체크하는 악성URL이, 컨테이너주택 전문제작 사이트에서도 사용자 정보와 사용자 추적 코드, 사용자 쿠키 정보를 탈취하는 기능의 악성URL이 발견됐다.
이어 지난 11일에는 해물·생선요리 전문 음식점 사이트와 한 숙박 사이트에서 서명 압축파일을 확인하는 기능의 악성URL이 삽입된 정황이 포착됐다.
지난 10일에는 xx테크노파크 사이트에서 악성코드가 유포된 정황이 포착됐으며, 가족 커뮤니티 사이트에서 사용자 정보 탈취용 악성URL이, 이사화물사이트에서도 사용자 정보 확인과 사용자 쿠키 정보를 확인하는 악성URL이 발견됐다. 또한, 한 구청 사이트에서는 공격자가 언제든지 공격할 수 있도록 악성URL을 심어놓은 정황도 포착됐다.
지난 9일에는 xxx베이스 사이트에서 취약점을 찾아 공격해주는 웹공격 툴인 블랙홀 익스플로잇 킷(Blackhole Exploit Kit)과 사용자 정보와 서명정보가 담긴 CAB 압축파일을 확인하는 악성URL이 발견됐다.
이를 본지에 알려온 제보자는 “주로 보안전문 인력이 없는 소상공인 업체나 중소기업 사이트가 여전히 악성코드 유포지와 경유지로 악용되고 있다”며 “개인정보를 탈취하려는 목적의 악성URL이 곳곳에서 발견되고 있어 근본적인 개선이 필요하다”고 지적했다.
공격효과 높이기 위해 카운터 코드 악용
게다가 공격자는 공격효과를 높이기 위해 카운터 코드를 이용하거나 사용자 모르게 다운로드 되는 형식으로 이용자의 PC를 공격하는 양상이다. 이와 관련 지난 13일에는 한 학원사이트에서 공격자가 방문자 숫자를 확인할 수 있는 카운터 기능의 코드가 발견됐다. 이어 지난 9일에는 한 미국 비자면제 신청관련 사이트에서 파밍용 악성코드가 드라이브-바이-다운로드(Drive-By-Download) 형식으로 유포된 정황이 포착됐으며, 평화연구소 사이트에서도 공격자가 방문자 숫자를 확인하는 카운터 기능의 코드가 발견됐다.
|
▲ 공격자가 방문자 숫자를 확인하기 위한 카운터 기능의 코드가 발견된 평화관련연구소 |
이와 관련 한 보안전문가는 “공격자는 방문자 수가 적은 사이트를 경유지로, 방문자가 많은 웹사이트는 악성코드 유포지로 이용한다”며 “공격자도 좀더 효과적인 공격을 위해 카운터 코드 등을 악용한다”고 설명했다.
또한, 같은 날 xxxx복지협회 사이트와 xx미술협회 사이트가, 그리고 정밀 프레스제품 생산업체 사이트가 줄줄이 디페이스 해킹을 당한 정황도 발견됐다.
지난 12일에는 군 관련 사관학교 발전기금 사이트에서 사용자 정보와 사용자 쿠키 정보를 체크하는 악성URL이 발견됐으며, 인성교육 관련 협회 사이트에서도 사용자 쿠키정보와 사용자 정보를 체크하는 악성URL이 발견됐다. 특히, 해당 사이트는 한 대기업 사이트가 경유지 역할을 하고 있는 것으로 분석됐다.
파일공유 사이트, 악성링크 삽입 포착
파일공유 사이트를 타깃으로 한 공격도 끊이지 않고 발생하고 있다. 지난 11일에는 파일공유 사이트에서 사용자 추적 코드, 사용자 쿠키 정보, ZIP파일의 서명기능이 있는 악성URL이 심어진 정황이 포착됐다.
|
▲ 지난 5월 30일 악성코드 유포가 다시 시작된 파일공유(P2P) 사이트 캡처화면 |
이보다 앞서 지난 5월 30일에는 xx혼 파일공유(P2P) 사이트를 통해 악성링크가 삽입된 정황이 포착됐다. 이와 관련 빛스캔은 “xx혼 사이트를 통해 연결되는 악성코드 유포지에서 실버라이트 관련 취약점과 결합한 CK 공격킷이 사용됐으며, 다운로드된 바이너리는 공인인증서를 탈취해 공격자 서버로 보내는 것으로 확인됐다”고 밝혔다.
게다가 주말이라는 시간적 특성을 고려하면 평일보다 많은 사용자가 감염됐을 것으로 추측되며, 이 외에도 다른 파일공유(P2P) 사이트에서 동일한 악성코드의 유포 정황이 포착됐다고 덧붙였다.
지난 3주간 웹사이트와 모바일 동시 공격 증가
무엇보다 최근에는 웹사이트와 안드로이드폰을 겨냥한 동시다발적인 공격도 끊이지 않고 발생하고 있다. 지난 14일에는 안드로이드폰을 타깃으로 뿌려진 스미싱 URL을 접속하면 악성 apk 다운로드되는 도메인이 발견됐다. 이와 관련 한 보안전문가는 “PC로 해당 URL을 접근하면 악성행위가 없는데, 안드로이드폰으로 접속하면 악성코드를 다운로드 받는 창으로 넘어간다”며 주의를 당부했다.
|
| ▲ 지난 14일 안드로이드폰에서 스미싱 URL을 접속하면 악성 apk 파일이 다운로드되는 도메인 캡처화면 |
최근 4주 동안에는 특정 SNS 뉴스 사이트를 통해 모바일 악성앱을 다운로드하기 위한 악성링크 삽입이 지속적으로 나타나고 있다. 게다가 이제는 다른 사이트까지 확대되는 움직임을 보이고 있다.
|
| ▲ 지난 1일 온라인 게임사이트에서 발견된 악성링크 포착 캡처 화면 |
지난 1일에는 온라인 게임사이트인 xx온 메인페이지와 xx트리 사이트에서 동시간대 나타났던 모바일 악성링크가 발견됐다.
이와 관련 빛스캔은 “앞서 4주 동안 유포됐던 xx트리와 마찬가지로 온라인 게임 사이트도 유저 수에 따라 많은 사용자가 접속할 수 있기 때문에 감염 피해가 클 수밖에 없다”며 “그 동안 모바일을 감염시키기 위한 주요 통로는 SMS였는데, 이제는 웹을 통한 악성링크 삽입 공격이 나타나고 있어 적절한 대비가 필요하다”고 강조했다.
원문 : http://www.boannews.com/media/view.asp?idx=46651
최근 덧글