Home > 전체기사

미스터피자·뉴스토마토 홈피, 악성링크 유포지로 악용!

  |  입력 : 2012-11-01 19:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난 주말 정상링크 위장해 악성코드 유포...빛스캔 PCDS에서 포착! 

현재 게임·금융계정 탈취가 주목적...향후 사이버테러로 확대 가능성


[보안뉴스 권 준] 피자전문 업체 미스터피자와 언론사 뉴스토마토의 웹사이트가 악성코드 유포지로 활용된 정황이 포착돼 사용자들의 각별한 주의가 요구된다.


매주 온라인 보안위협 보고서를 발간하는 빛스캔에 따르면 10월 4주차에 빛스캔이 운영하고 있는 PCDS(Pre-Crime Detect System)를 통해 미스터피자와 뉴스토마토 홈페이지에서 악성링크가 유포된 흔적이 발견됐다고 밝힌 것. 이는 정상적인 링크를 가장한 곳과 하위 도메인을 해킹해 악성링크를 활용한 것으로 나타났다.


피자업계 최초로 코스닥에 상장하는 등 피자업계의 대표주자로 성장한 미스터피자 홈페이지의 경우 악성링크는 메인페이지(http://mrpizza.co.kr)와 온라인 주문을 하는 웹 서버에 모두 추가되어 악성링크의 유포지(숙주)로 활용된 것으로 빛스캔 측은 분석했다.

 10월 26일 20시경 미스터피자 온라인 주문 사이트에서 악성코드 유포정황이 포착됨.[자료: 빛스캔]  


악성코드 경유지는 http://xxx.245.86.201/pic/img.js로, 미스터피자와 언론사 뉴스토마토 사이트를 통해서 주말 동안 유포되어 피해를 입힌 것으로 알려졌다.

특히, 미스터피자의 경우 온라인 주문을 하는 웹사이트 주소에 xxx.mrpizza.co.kr/gmarket/xxxxx.html gmarket 디렉토리를 통해 정상으로 위장했으며, 뉴스토마토의 경우 국내 unitel 도메인의 하위주소를 해킹해 etomato.unitel.co.kr 주소를 악성링크로 활용한 것이 탐지됐다는 게 빛스캔 측의 설명이다. 

 

미스터피자와 뉴스토마토에 삽입된 악성링크 구조도 [자료 : 빛스캔]


언론사인 뉴스토마토는 해당 뉴스페이지 및 TV링크의 소스에 정체를 숨기기 위해 unitel 도메인의 하위주소를 해킹하고 etomato.unitel.co.kr 주소를 악성링크로 활용된 정황이 포착된 것으로 알려졌다.

빛스캔에 따르면 해당 악성링크는 etomato.unitel.co.kr/js/top.js이며, 최종 악성링크는 미스터피자 웹사이트에 추가된 악성링크와 동일하고 etomato.com에 unitel 도메인에 하위도메인을 etomato로 함으로써 더욱 헷갈리고, 탐지하기 어렵게 만들었다는 것이다.   

뉴스토마토 웹사이트의 악성링크 유포정황이 포착됨. [자료 : 빛스캔]


이와 관련 빛스캔 관계자는 “온라인상에서 공격을 시도하고 있는 공격자들의 공격기법과 기술은 매번 진화하고 있다. 매주 적극적으로 유포 망을 확대하고, 감염기술을 고도화시키는 등 최고의 공격기법을 웹사이트에 은밀히 투입하고 삭제하는 과정을 반복함으로써 공격전략을 세운다”며, “미스터피자와 뉴스토마토의 경우는 공격자의 고도화된 공격기법들을 실전에 사용해 정상적인 디렉토리로 바꾸고, 정상적인 도메인의 해킹을 통해 유포지 링크로 만들어 악성링크가 탐지되지 않고 우회하도록 함으로써 공격효과를 극대화시키고 있다”고 밝혔다.


특히, 대량 유포를 통해 사이트 방문자의 10명중 6명꼴로 악성코드에 감염될 수밖에 없는 현실이 매주 반복되고 있다는 얘기다. 그러나 대응기술 측면에서는 아직 지지부진한 상황이어서 이러한 공격에 속수무책으로 당하고 있는 게 현실이다. 이와 관련 빛스캔 측은 “현재는 돈이 되는 정보들인 게임계정 탈취가 주목적이지만, 공격자가 마음만 달리 먹으면 대규모 디도스 공격이나 사이버테러 등으로 확대될 수 있다”고 우려했다. 


이번에 발견된 해당 악성코드들의 경우 모두 게임계정 및 금융정보를 탈취하려는 목적으로 유포된 것으로 분석됐다고 빛스캔 측은 밝혔다. 다시 말해 브라우저 단에 BHO(Browser Helper Object)로 등록해 이벤트를 체크하고, 특정사이트에 접근해 정보를 입력할 경우 피싱사이트로 연결되도록 하거나 정보를 탈취하는 유형으로 확인되고 있다는 것.


해당 공격은 주로 자바(JAVA)와 IE(Internet Explorer)의 취약점을 악용한 공격이 이루어졌으며, 자바의 경우는 CVE-2012-3544, CVE-2012-0507, CVE-2012-4681, CVE-2012-1723 등의 취약점을, MS XML의 경우 CVE-2012-1889, CVE-2011-1255 등의 취약점을 통해 공격이 이루어진 것으로 빛스캔의 분석결과 나타났다. 


더욱이 대량 유포의 성공률을 높이고, 사용자 PC의 감염확률을 높이기 위해 다중 취약점을 이용하는 익스플로잇 툴 킷(Exploit Tool Kit) 등의 자동화 도구를 사용하고 있어 문제가 더욱 심각하다는 얘기다. 


빛스캔 관계자는 “우리는 현재 악성코드를 ‘먹고 있다’거나 ‘읽고 있다’고 표현하는 것이 맞을 정도로 수많은 보안위협에 노출돼 있고, 악성코드에 감염되고 있다”며, “이렇듯 오늘날 국내 웹사이트에서 벌어지고 있는 현실을 더 이상 간과해서는 안 되며, 보다 획기적인 대책이 필요하다”고 강조했다.


한편, 빛스캔이 운영하고 있는 PCDS는 현재 국내외 약 130여만 개의 웹사이트를 모니터링 하면서 악성링크 및 악성코드를 탐지·분석하고 있다. PCDS에서 탐지·분석되는 정보들은 최초의 악성링크, 악성링크 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결을 시도하는 C&C 서버 정보 등으로, 이러한 정보들이 실시간으로 수집 및 축적되고 있다. 

[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화