보안

정철 어학원의 악성코드 유포 감지 이후 빠른 대응, 돋보였다

이대영 기자 | ITWorld 2014.03.18
빛스캔은 정철 어학원이 악성코드 유포지로 활용되고 있다고 밝혔다. 하지만 정철 어학원은 그간 유포 사이트들이 보여준 행태와는 달리 기민한 대처를 보였다.

사용자들이 자주 방문하는 사이트를 대상으로 한 악성코드 유포 시도는 새로운 이야기가 아니다. 그러나 현재의 악성코드들은 파밍뿐 아니라 백도어 행위까지도 관찰되고 있으며, 내부망으로 침입 할 수 있는 유용한 수단으로 직접 활용되고 있어, 심각성이 높은 상황이다.

악성코드가 심어진 사이트는 모든 방문자를 대상으로 감염시킨다. 공격자의 악성링크는 이 사이트를 방문한 사용자의 PC에 자바, IE, 플래시 등의 취약점 보안 패치가 이뤄지지 않은 경우 유포되는 것이다.

그래서 내부 진입통로를 막지 못한다면 모든 권한은 공격자가 가지게 되므로 감염확산 및 추가적인 2차, 3차 공격에 이용될 수 있다.

빛스캔은 3월 15일경 정철 어학원 웹 사이트에서 악성코드를 유포할 수 있는 링크가 삽입되어, 웹사이트 방문자에게 악성코드를 감염시키게 하는 역할을 한 것으로 확인했다.

정철 어학원을 통해 유포된 악성링크는 3월 15일 오전 5시에 처음 발견됐으며 이후 3차례 악성링크가 변경되는 모습을 보였다. 악성링크가 잦은 변경을 한 이유는 탐지장비 및 악성링크 차단을 우회하기 위함이다.

또한, 악성링크내의 공격코드를 분석해보면 최근 9개 취약점을 사용하고 있는 공다팩을 사용한 것으로 파악됐다. 공다팩은 자바 취약점(7종), IE(1종), 플래시(1종)이 사용된 복합적인 공격으로 구성되어 있으며, 사용자가 어느 한 취약점에 노출되기만 하더라도 감염된다.

빛스캔 문일준 대표는 "정상적인 웹사이트를 방문한 사용자에게 자동으로 악성코드에 감염시키는 공격을 드라이브바이다운로드(Drive-by-download)라고 하며, 공격자는 악성코드 유포를 위해 취약한 웹 서비스에 대량으로 악성링크를 삽입해 행하는 공격을 수년째 활발하게 이용하고 있다"고 설명했다.

즉, 정상 페이지로부터 자동 접속되는 악성링크는 사용자 PC의 다양한 애플리케이션의 취약점을 이용해 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다. 또한 초기 설치되는 악성파일들은 국내에서 사용되는 주요 백신을 우회하도록 제작되어 있어 초기 대응은 사실상 어려움이 많다.

우회 방식은 다양하지만, 시간적 한계를 이용하는 경우도 있다. 빛스캔 전상훈 CTO는 "개인 PC에서는 믿을 수 있는 보안 수단은 사실상 안티바이러스 프로그램밖에 없다. 안티바이러스가 새로운 악성코드를 진단해 예방 및 치료하기 위해서는 샘플의 확보, 분석, 시그내처 작성, 오진 검증, 최종 업데이트 등 적어도 12시간의 시간이 필요하다"고 말했다.

즉, 신종 샘플 출현 이후 12시간이 지나야만 탐지나 치료가 가능하다는 의미다. 전상훈 CTO는 '하지만, 공격자들은 이런 시간적 한계를 알고 있기 때문에 6시간마다 악성코드를 바꾸는 시도를 하게 되며, 이는 안티바이러스 프로그램을 우회하는 한가지 기법에 해당한다"고 전했다.

또한 빛스캔은 "지속적인 악성코드 유포 사이트로 활용이 되지 않기 위해서는 현재 임시적인 악성링크를 삭제하는 방안이 아닌 근본적인 통로 차단을 원천 봉쇄하여 다시 활용 될 수 없게 하는 방안을 강구해야 한다"고 권고했다.

이에 대해 정철 어학원은 빠른 대응을 보였다. 15일 KISA의 모니터링에 감지된 이 악성링크를 통보받은 정철 어학원은 곧바로 해당 링크를 제거하고 24시간 감지 체계로 전환했다. 또한 정철 어학원의 웹방화벽 관제 서비스를 맡고 있는 KCC시큐리티에서 웹사이트 취약점 분석을 진행중이다.

정철 어학원 전산팀 황두환 실장은 "정철 어학원은 상시적으로 보안 관제를 하고 있으며, KISA로부터 악성링크를 통보받은 지 3시간 만에 이를 제거했고 현재 취약점 분석을 하고 있다"며, "악성링크가 등장한 지난 주말부터 24시간 탐지 체제로 전환했으며, 앞으로도 상당한 주의를 기울이겠다"고 말했다.

공격자에 의한 국내 웹사이트의 악성코드 유포 사고가 빈번하게 발발하고 있다. 특히 최근 어학원을 중심으로 한 유포 정황은 2012년에 이익훈 어학원을 시작으로 해커스까지 비교적 학원생 수가 많은 사이트를 중심으로 유포되는 경향을 보이고 있었다. 이런 와중에 정철 어학원의 빠른 대응과 대처 방안은 손꼽을만한 국내 보안 모범 사례가 될 것으로 보인다. editor@itworld.co.kr editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.