빛스캔(대표 문일준)은 자사가 운영하는 PCDS(Pre-Crime Detect Satellite)를 통해 가수 씨엔블루의 일본사이트(cnblue.jp)에 삽입된 악성코드가 점차 진화되고 있다고 13일 밝혔다.
빛스캔은 지난달 7일, 8일, 11일에 각각 다른 악성링크와 공격코드가 씨엔블루 일본사이트에 삽입된 정황을 포착한 바 있다. 악성링크에서 내려오는 악성파일들은 점차 진화해 11일에 배포된 악성파일은 ‘파밍’의 기능을 수행하는 것으로 분석됐다.
이어 지난 9일에 또 다시 악성링크를 삽입한 정황이 탐지됐다. 해당 링크에서 내려오는 악성파일은 자바(6종)+IE(1종)+플래시(1종)등 8가지 취약점 (CVE-3544-0507-1723-4681-5076-1889-0442-0634)을 사용하는 것으로 분석됐다.
최종 악성파일 기능은 ‘파밍’이었으며, 추가적으로 명령제어(C&C) 서버와 연결된 4가지의 악성파일도 발견됐다.
다른 악성파일도 아닌 파밍과 관련된 악성파일이 일본에서 유행하고 있는 이유는 국내시장과 동일한 이유라고 빛스캔은 설명했다.
이 회사 관계자는 “한국 내에서도 파밍이 이슈가 되고 있다. 해당 악성파일에 감염되면, 방문자 PC 모든 권한은 공격자에게 넘어 간다. 감염 확률을 높이기 가장 쉬운 공격방법이 웹 서비스에 방문하는 사용자들을 대량으로 감염시키는 것”이라며 “감염이 되면 사용자 PC의 권한을 획득할 것이고, 그 다음은 공격자가 원하는 대로 2차, 3차 공격이 가능하다”고 설명했다.
이어 “국내의 수익모델(해커들의)이 황무지화돼 간다면 그 여파는 국내가 아닌 가까운 일본으로 이동할 가능성도 조심스럽게 예상해 본다”고 덧붙였다.
이러한 공격에 대응하기 위해서는 차단이라는 사후적인 대응이 아니라 예방이라는 사전 대응적 수단을 강구해야 할 것으로 보인다.
특히 악성코드 유포가 발생한 웹서비스에 대한 보안 감사를 철저히 해 재발을 막고 웹 취약점 진단을 통한 소스 수정이나 웹방화벽의 도입이 필요하다. 아울러 관련 기관과 보안 업계의 공동적인 협력을 통해 악성코드 유포 행위 자체를 빠르게 탐지, 차단함으로써 위험이 널리 퍼지지 않도록 선제적 대응을 해야 할 것으로 보인다.
한편 빛스캔은 한 주간 국내외 140만개 이상의 주요 웹 서비스를 관찰해 매주 수요일에 브리핑, 동향분석, 기술분석 보고서를 발행하고 있다.