빛스캔, 한류 악용한 악성파일 유포 정황 포착…일본시장 타깃
- 가
- 가
이민형 기자
[디지털데일리 이민형기자] 한류를 이용한 악성코드 유포가 일본으로 번지고 있다.
빛스캔(대표 문일준)은 자사가 운영하는 PCDS(Pre-Crime Detect Satellite)를 통해 가수 씨엔블루의 일본사이트(cnblue.jp)에 삽입된 악성코드가 점차 진화되고 있다고 13일 밝혔다.
빛스캔은 지난달 7일, 8일, 11일에 각각 다른 악성링크와 공격코드가 씨엔블루 일본사이트에 삽입된 정황을 포착한 바 있다. 악성링크에서 내려오는 악성파일들은 점차 진화해 11일에 배포된 악성파일은 ‘파밍’의 기능을 수행하는 것으로 분석됐다.
이어 지난 9일에 또 다시 악성링크를 삽입한 정황이 탐지됐다. 해당 링크에서 내려오는 악성파일은 자바(6종)+IE(1종)+플래시(1종)등 8가지 취약점 (CVE-3544-0507-1723-4681-5076-1889-0442-0634)을 사용하는 것으로 분석됐다.
최종 악성파일 기능은 ‘파밍’이었으며, 추가적으로 명령제어(C&C) 서버와 연결된 4가지의 악성파일도 발견됐다.
다른 악성파일도 아닌 파밍과 관련된 악성파일이 일본에서 유행하고 있는 이유는 국내시장과 동일한 이유라고 빛스캔은 설명했다.
이 회사 관계자는 “한국 내에서도 파밍이 이슈가 되고 있다. 해당 악성파일에 감염되면, 방문자 PC 모든 권한은 공격자에게 넘어 간다. 감염 확률을 높이기 가장 쉬운 공격방법이 웹 서비스에 방문하는 사용자들을 대량으로 감염시키는 것”이라며 “감염이 되면 사용자 PC의 권한을 획득할 것이고, 그 다음은 공격자가 원하는 대로 2차, 3차 공격이 가능하다”고 설명했다.
이어 “국내의 수익모델(해커들의)이 황무지화돼 간다면 그 여파는 국내가 아닌 가까운 일본으로 이동할 가능성도 조심스럽게 예상해 본다”고 덧붙였다.
이러한 공격에 대응하기 위해서는 차단이라는 사후적인 대응이 아니라 예방이라는 사전 대응적 수단을 강구해야 할 것으로 보인다.
특히 악성코드 유포가 발생한 웹서비스에 대한 보안 감사를 철저히 해 재발을 막고 웹 취약점 진단을 통한 소스 수정이나 웹방화벽의 도입이 필요하다. 아울러 관련 기관과 보안 업계의 공동적인 협력을 통해 악성코드 유포 행위 자체를 빠르게 탐지, 차단함으로써 위험이 널리 퍼지지 않도록 선제적 대응을 해야 할 것으로 보인다.
한편 빛스캔은 한 주간 국내외 140만개 이상의 주요 웹 서비스를 관찰해 매주 수요일에 브리핑, 동향분석, 기술분석 보고서를 발행하고 있다.
<이민형 기자>kiku@ddaily.co.kr
빛스캔(대표 문일준)은 자사가 운영하는 PCDS(Pre-Crime Detect Satellite)를 통해 가수 씨엔블루의 일본사이트(cnblue.jp)에 삽입된 악성코드가 점차 진화되고 있다고 13일 밝혔다.
빛스캔은 지난달 7일, 8일, 11일에 각각 다른 악성링크와 공격코드가 씨엔블루 일본사이트에 삽입된 정황을 포착한 바 있다. 악성링크에서 내려오는 악성파일들은 점차 진화해 11일에 배포된 악성파일은 ‘파밍’의 기능을 수행하는 것으로 분석됐다.
이어 지난 9일에 또 다시 악성링크를 삽입한 정황이 탐지됐다. 해당 링크에서 내려오는 악성파일은 자바(6종)+IE(1종)+플래시(1종)등 8가지 취약점 (CVE-3544-0507-1723-4681-5076-1889-0442-0634)을 사용하는 것으로 분석됐다.
최종 악성파일 기능은 ‘파밍’이었으며, 추가적으로 명령제어(C&C) 서버와 연결된 4가지의 악성파일도 발견됐다.
다른 악성파일도 아닌 파밍과 관련된 악성파일이 일본에서 유행하고 있는 이유는 국내시장과 동일한 이유라고 빛스캔은 설명했다.
이 회사 관계자는 “한국 내에서도 파밍이 이슈가 되고 있다. 해당 악성파일에 감염되면, 방문자 PC 모든 권한은 공격자에게 넘어 간다. 감염 확률을 높이기 가장 쉬운 공격방법이 웹 서비스에 방문하는 사용자들을 대량으로 감염시키는 것”이라며 “감염이 되면 사용자 PC의 권한을 획득할 것이고, 그 다음은 공격자가 원하는 대로 2차, 3차 공격이 가능하다”고 설명했다.
이어 “국내의 수익모델(해커들의)이 황무지화돼 간다면 그 여파는 국내가 아닌 가까운 일본으로 이동할 가능성도 조심스럽게 예상해 본다”고 덧붙였다.
이러한 공격에 대응하기 위해서는 차단이라는 사후적인 대응이 아니라 예방이라는 사전 대응적 수단을 강구해야 할 것으로 보인다.
특히 악성코드 유포가 발생한 웹서비스에 대한 보안 감사를 철저히 해 재발을 막고 웹 취약점 진단을 통한 소스 수정이나 웹방화벽의 도입이 필요하다. 아울러 관련 기관과 보안 업계의 공동적인 협력을 통해 악성코드 유포 행위 자체를 빠르게 탐지, 차단함으로써 위험이 널리 퍼지지 않도록 선제적 대응을 해야 할 것으로 보인다.
한편 빛스캔은 한 주간 국내외 140만개 이상의 주요 웹 서비스를 관찰해 매주 수요일에 브리핑, 동향분석, 기술분석 보고서를 발행하고 있다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
당신이 좋아할 만한 뉴스
많이 본 기사
연재기사
실시간 추천 뉴스
-
금감원 신임 부원장에 김병칠 부원장보...공채 출신 임원도 탄생
2024-09-20 19:57:05 - 2024-09-20 19:50:04
-
아이폰16 공시지원금, 전작과 비교해보니…"기본 모델은 낮아져"
2024-09-20 19:39:53 -
오징어게임2, 새 게임은 '이것'?…티저 영상에 '힌트' 있다
2024-09-20 19:37:56 -
입사 축하금 300만원 지급…코인원, 백엔드 개발자 하반기 채용 ‘성료’
2024-09-20 18:20:55
회사명: ㈜디지털데일리|제호: 디지털데일리|등록번호 : 서울아00039|등록발행연월일: 2005년 9월 6일|사업자 등록번호: 101-86-13419
주소: (04057)서울특별시 마포구 신촌로14길 24(노고산동 54-46)|대표전화: 02-334-7781|Fax: 02-334-7782
대표자: 양경진|편집국장: 채수웅|개인정보·청소년보호책임자: 오주엽
Copyright © DIGITAL DAILY Co.,Ltd. All Rights Reserved.