미스터피자·뉴스토마토 홈피, 악성링크 유포지로 악용!

지난 주말 정상링크 위장해 악성코드 유포...빛스캔 PCDS에서 포착!

현재 게임·금융계정 탈취가 주목적...향후 사이버테러로 확대 가능성

[보안뉴스 권 준] 피자전문 업체 미스터피자와 언론사 뉴스토마토의 웹사이트가 악성코드 유포지로 활용된 정황이 포착돼 사용자들의 각별한 주의가 요구된다.

매주 온라인 보안위협 보고서를 발간하는 빛스캔에 따르면 10월 4주차에 빛스캔이 운영하고 있는 PCDS(Pre-Crime Detect System)를 통해 미스터피자와 뉴스토마토 홈페이지에서 악성링크가 유포된 흔적이 발견됐다고 밝힌 것. 이는 정상적인 링크를 가장한 곳과 하위 도메인을 해킹해 악성링크를 활용한 것으로 나타났다.

피자업계 최초로 코스닥에 상장하는 등 피자업계의 대표주자로 성장한 미스터피자 홈페이지의 경우 악성링크는 메인페이지(http://mrpizza.co.kr)와 온라인 주문을 하는 웹 서버에 모두 추가되어 악성링크의 유포지(숙주)로 활용된 것으로 빛스캔 측은 분석했다.

10월 26일 20시경 미스터피자 온라인 주문 사이트에서 악성코드 유포정황이 포착됨.[자료: 빛스캔]

악성코드 경유지는 http://xxx.245.86.201/pic/img.js로, 미스터피자와 언론사 뉴스토마토 사이트를 통해서 주말 동안 유포되어 피해를 입힌 것으로 알려졌다.

특히, 미스터피자의 경우 온라인 주문을 하는 웹사이트 주소에 xxx.mrpizza.co.kr/gmarket/xxxxx.html gmarket 디렉토리를 통해 정상으로 위장했으며, 뉴스토마토의 경우 국내 unitel 도메인의 하위주소를 해킹해 etomato.unitel.co.kr 주소를 악성링크로 활용한 것이 탐지됐다는 게 빛스캔 측의 설명이다.

미스터피자와 뉴스토마토에 삽입된 악성링크 구조도 [자료 : 빛스캔]

언론사인 뉴스토마토는 해당 뉴스페이지 및 TV링크의 소스에 정체를 숨기기 위해 unitel 도메인의 하위주소를 해킹하고 etomato.unitel.co.kr 주소를 악성링크로 활용된 정황이 포착된 것으로 알려졌다.

빛스캔에 따르면 해당 악성링크는 etomato.unitel.co.kr/js/top.js이며, 최종 악성링크는 미스터피자 웹사이트에 추가된 악성링크와 동일하고 etomato.com에 unitel 도메인에 하위도메인을 etomato로 함으로써 더욱 헷갈리고, 탐지하기 어렵게 만들었다는 것이다.

뉴스토마토 웹사이트의 악성링크 유포정황이 포착됨. [자료 : 빛스캔]

이와 관련 빛스캔 관계자는 “온라인상에서 공격을 시도하고 있는 공격자들의 공격기법과 기술은 매번 진화하고 있다. 매주 적극적으로 유포 망을 확대하고, 감염기술을 고도화시키는 등 최고의 공격기법을 웹사이트에 은밀히 투입하고 삭제하는 과정을 반복함으로써 공격전략을 세운다”며, “미스터피자와 뉴스토마토의 경우는 공격자의 고도화된 공격기법들을 실전에 사용해 정상적인 디렉토리로 바꾸고, 정상적인 도메인의 해킹을 통해 유포지 링크로 만들어 악성링크가 탐지되지 않고 우회하도록 함으로써 공격효과를 극대화시키고 있다”고 밝혔다.

특히, 대량 유포를 통해 사이트 방문자의 10명중 6명꼴로 악성코드에 감염될 수밖에 없는 현실이 매주 반복되고 있다는 얘기다. 그러나 대응기술 측면에서는 아직 지지부진한 상황이어서 이러한 공격에 속수무책으로 당하고 있는 게 현실이다. 이와 관련 빛스캔 측은 “현재는 돈이 되는 정보들인 게임계정 탈취가 주목적이지만, 공격자가 마음만 달리 먹으면 대규모 디도스 공격이나 사이버테러 등으로 확대될 수 있다”고 우려했다.

이번에 발견된 해당 악성코드들의 경우 모두 게임계정 및 금융정보를 탈취하려는 목적으로 유포된 것으로 분석됐다고 빛스캔 측은 밝혔다. 다시 말해 브라우저 단에 BHO(Browser Helper Object)로 등록해 이벤트를 체크하고, 특정사이트에 접근해 정보를 입력할 경우 피싱사이트로 연결되도록 하거나 정보를 탈취하는 유형으로 확인되고 있다는 것.

해당 공격은 주로 자바(JAVA)와 IE(Internet Explorer)의 취약점을 악용한 공격이 이루어졌으며, 자바의 경우는 CVE-2012-3544, CVE-2012-0507, CVE-2012-4681, CVE-2012-1723 등의 취약점을, MS XML의 경우 CVE-2012-1889, CVE-2011-1255 등의 취약점을 통해 공격이 이루어진 것으로 빛스캔의 분석결과 나타났다.

더욱이 대량 유포의 성공률을 높이고, 사용자 PC의 감염확률을 높이기 위해 다중 취약점을 이용하는 익스플로잇 툴 킷(Exploit Tool Kit) 등의 자동화 도구를 사용하고 있어 문제가 더욱 심각하다는 얘기다.

빛스캔 관계자는 “우리는 현재 악성코드를 ‘먹고 있다’거나 ‘읽고 있다’고 표현하는 것이 맞을 정도로 수많은 보안위협에 노출돼 있고, 악성코드에 감염되고 있다”며, “이렇듯 오늘날 국내 웹사이트에서 벌어지고 있는 현실을 더 이상 간과해서는 안 되며, 보다 획기적인 대책이 필요하다”고 강조했다.

한편, 빛스캔이 운영하고 있는 PCDS는 현재 국내외 약 130여만 개의 웹사이트를 모니터링 하면서 악성링크 및 악성코드를 탐지·분석하고 있다. PCDS에서 탐지·분석되는 정보들은 최초의 악성링크, 악성링크 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결을 시도하는 C&C 서버 정보 등으로, 이러한 정보들이 실시간으로 수집 및 축적되고 있다.

[권 준 기자(editor@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)