 |
| 방화벽 제품 소개 페이지의 악성 URL 삽입 정황.(사진제공=MDsoft) |
4월이 시작됐음에도 여전히 악성코드 유포 활동이 계속해 발생하고 있는 것으로 확인됐다. 특히 지난 주말 글로벌 보안 솔루션 기업의 공식 제품 소개 페이지에서 악성코드 유포 정황이 확인 됐으며, 각 가정과 기업, 단체 등에서 사용하는 유/무선 공유기가 악성코드 유포에 활용되고 있어 종합적인 점검이 필요한 상황이다.
9일 MDsoft(대표 백진성)는 국내 웹사이트를 사용해 악성코드 유포 활동이 계속해서 발생하고 있다고 밝혔다. 특히 지난 2월에 비해 악성코드 유포가 상당수 증가한 것을 알 수 있으며 향후 대량 악성코드 감염 시도가 발생할
수 있어 사용자 PC 보안에 주의가 필요하다.
특히나, 글로벌 보안 솔루션 기업의 공식 제품 소개 페이지가 악성코드 유포에 활용된 정황을 포착할 수 있었다. 해당 페이지는 기업에서 판매가 되고 있는 방화벽 제품의 소개 페이지로, 다양한 경로를 통해 접속이 많은 페이지다. MDsoft가 망고스캔 시스템을 통해 분석한 결과 다행히 악성코드 유포는 하지 않은 상태였지만, 방문자의 정보를 수집하고 있는 코드가 남겨져 있었다. 얼마든지 악성코드 유포 경로로 활용될 수도 있는 상황.
확인결과 이 페이지가 악성코드 유포에 활용된 시점은 지난 1일 토요일 오후였으며, 이후 주말 기간 영향을 준 것으로 파악됐다. 실제로 악성코드가 삽입된 시점은 3월말인 것으로 보인다.
해당 악성 URL은 과거, 랜섬웨어 유포에 다수 활용됐으며, 안티바이러스 검색 서비스인 바이러스 토탈(VirusTotal)에서 조회한 결과 다수의 백신에서 해당 정보를 악성으로 분류, 탐지하고 있었다. 이는 과거에도 동일한 형태의 유포가 지속 됐기 때문에 탐지하고 있었을 것이란 분석도 가능하다.
MDsoft 관계자는 "해당 사이트의 소스·코드를 수정해 공격자가 직접 악성 URL을 삽입했기 때문에, 공격자는 이미 웹 서버와 DB 등 권한을 모두 탈취한 상태일 수도 있어 2차 피해를 예방해야 한다”고 위험성을 전달했다.
 |
| 유/무선 공유기를 통해 유포된 악성코드가 백신에서 탐지 중인 결과.(사진제공=MDsoft) |
한편 유/무선 공유기를 통한 악성코드가 다시 활성화 된 것으로 파악된다. 특히 유/무선 공유기 공격을 통해 DNS정보를 변조, 해당 공유기를 통하여 웹사이트 접속 시 정상적인 사이트가 아닌 공격자가 미리 제작해 둔 페이지가 노출 되면서 브라우저나 보안 강화를 위한 업데이트가 필요하다며 사용자를 현혹 한 뒤 악성코드를 설치하게 해 2차 피해를 유발 시킨다.
MDsoft 관계자는 “유/무선 공유기를 통한 악성코드 유포 방식은 PC와 달리 사용자가 동의하지 않을 경우 강제로 설치되지 않기 때문에 악성코드 감염으로 인한 실제 피해는 극소수로 적을 수도 있다. 그러나 악성코드 감염 피해가 발생하지 않는다고 해 안전하다고 생각할 수는 없다“고 밝혔다.
유/무선 공유기를 사용 중인 사용자는 한국인터넷진흥원의 유·무선 공유기 보안 설정 권고(http://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=21404) 가이드에 따라 공유기 보안 설정을 강화해야 한다.
