보안

여의도순복음교회 또다시 악성코드 유포, 이에 대응하는 방안...빛스캔

이대영 기자 | ITWorld 2014.03.05
지난 주 악성링크 유포에 활용되었던 여의도순복음 교회 웹사이트가 지난 주말인 3월 1일, 2일 이틀간 총 4차례의 악성링크가 유포되는 정황이 포착됐다.

빛스캔은 "이번 유포에서도 지난 주와 마찬가지로 공다(Gongdad)팩이 사용되었으며, 이를 활용하는 취약점은 모두 9개(자바 7종, IE 1종, 플래시 1종)"라고 밝혔다.

특히, 웹사이트를 방문하여 어떤 페이지로 이동하더라도 항상 실행되는 자바스크립트인 공용파일에 모두 4번 악성링크가 삽입되었다. 빛스캔 측이 밝힌 유포 확인 시점은 다음과 같다.

- 유포 확인 시점 - 2014.03.01.20시경
fgtv.com/fgtv/xxxxxx_js/x_x.js (악성코드 유포 통로)
→ jaeseopark.com/pop/index.html (악성코드 유포지)

- 유포 확인 시점 - 2014.03.01.22시경
fgtv.com/fgtv/xxxxxx_js/x_x.js (악성코드 유포 통로)
→ han-xxx.com/pop/index.html (악성코드 유포지)

- 유포 확인 시점 - 2014.03.02.15시경
www.fgtv.com/xxxxxx_xxx_xx/xxxxxx.js (악성코드 유포 통로)
→ dnxxx.net/pop/index.html (악성코드 유포지)
→ berlinreport.com/xxxx/xxxx/50Jahre/b.exe (최종파일)

- 유포 확인 시점 - 2014.03.02.17시경
www.fgtv.com/xxxxxx_xxx_xx/xxxxxx.js (악성코드 유포 통로)
→ donghwatextile.com/pop/index.html (악성코드 유포지)
→ berlinreport.com/xxxx/xxxx/50Jahre/b.exe (최종파일)


빛스캔은 추가로 다운로드되는 악성 바이너리는 금융 정보 유출을 노린 파밍 공격과 백도어 기능을 가진 트로이목마 유형으로 분석했다. 특히, 트로이목마는 C&C 서버와 지속적인 연결 및 명령을 주고받는 형태이므로, 추가적인 공격이 발생할 수 있는 여지가 있으며, 악성 파일 자체도 백신을 우회할 수 있도록 제작, 유통되므로 개인 사용자의 피해가 있을 것으로 우려했다.

악성코드 유포에 활용되는 웹사이트 변조 사고의 대응을 위해서는 웹서버의 보안, 즉 웹 취약점을 해결해야 한다는 점은 널리 알려져 있다. 하지만, 공격자가 웹서버에 숨겨둔 백도어 등도 있기 때문에, 악성코드 유포에 활용된 웹서버에 대해서는 소스뿐만 아니라 서버의 보안까지도 충분히 검토하여 문제를 해결할 필요가 있다.

이에 대해 순복음교회 웹사이트를 담당하는 방송국 인터넷 운영팀에서는 "지난 주 악성링크가 유포된다는 소식과 함께 곧바로 KISA에 의뢰해 코드를 분석하고 있는 중"이라고 밝혔다. 지난 주말, 순복음교회 측은 24시간 상시 모니터링을 통해 악성링크가 유포되는 즉시 삭제하는 등 기민한 조치를 취하고 있다.

순복음교회 보안 관계자는 "숨어있는 웹셀을 찾기 전까지 상당히 어려운 상황에 봉착했다"며, "이에 대한 근본적인 대책 방안을 마련할 것"이라고 말했다.

같은 웹사이트에서 악성코드 유포 사고가 지속적으로 반복되는 이유에 대해 빛스캔 측은 "이번 사례뿐만 아니라 다른 기업들도 삽입된 악성링크만 단순 제거하고 추가적인 대응을 하지 않은 경우가 대부분"이라고 말했다.

빛스캔은 웹사이트 변조 사고에 대응하기 위한 방안으로 다음과 같은 세 가지 방안을 권유했다.

1. 로그 분석 및 대응 – 웹로그 분석을 통해 공격에 사용된 취약점을 확인하고, 그 부분에 대한 소스 수정 등을 통해 해결한다.

2. 웹쉘 대응 – 공격자는 이미 서버에 웹쉘과 같은 백도어를 심어둘 가능성이 높다. KISA가 제공하는 휘슬, 또는 상용으로 판매되는 웹쉘 탐지 솔루션을 적용하여 대응한다.
(휘슬: http://toolbox.krcert.or.kr/MMVF/MMVFView_V.aspx?MENU_CODE=14&PAGE_NUMBER=15)

3. 서버 모니터링 – 서버에 악성코드 또는 백도어를 설치해 원격에서 제어할 수 있도록 하는 경우, 서버의 로그와 프로세스 등을 면밀히 확인하여 문제점이 발견될 경우 제거 및 치료해야 한다. 여유가 된다면, 서버를 포맷하는 방법도 있다.

이와 별개로, 웹서버에 대한 대부분의 공격은 자동화된 공격툴을 통해 SQL 인잭션(Injuction)이나 RFI(Remote File Inclusion) 등 웹 취약점을 이용해 공격을 시도하고, 공격이 성공하게 되면, 추가적으로 데이터를 빼내거나 악성코드 유포에 활용하게 된다.

따라서, 웹사이트의 콘텐츠가 바뀌는 경우 웹 소스를 필수적으로 점검해야 하며, 일반적으로 적어도 3개월에서 6개월에 한번씩은 전체 점검을 해야 한다. editor@itworld.co.kr
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.