[웹사이트 보안 경보] 보안 취약 국내 사이트, 해커들의 사랑방

보안 취약한 국내 웹사이트 반복 공격 당해...악성링크 줄줄이 포착

[보안뉴스 김경애] 한 주간 웹사이트 화면을 변조하는 디페이스 해킹을 비롯해 특정 자동차 회사 관련 사이트에서 악성코드가 잇따라 포착됐다. 또한, 국내 일부 웹사이트가 피싱 사이트로 악용되고 있으며, 보안이 취약한 웹사이트는 반복적으로 공격을 당하는 등 수난을 겪고 있다. 다음은 악성링크가 발견된 국내 웹사이트 현황을 분석한 결과다.

▲지난 3일 디페이스 해킹이 포착된 XX레이넷 사이트 화면

1. XX레이넷 사이트
지난 3일에는 모뎀 전용선 접속 서비스 업체 XX레이넷 사이트에서 디페이스 해킹을 비롯해 웹셸 삽입 및 악성코드 유포 정황이 포착됐다.

이와 관련 하우리 최상명 CERT 실장은 “보안이 취약한 국내 사이트가 다양한 사이버범죄자들로부터 공격을 받고 있다”며 “공지사항 게시판에는 디페이스 해킹을 당해 ‘HACKED BY MR ABAN’이란 문구가 게재됐고, 지난 3일에는 웹쉘이 삽입된 정황도 포착됐다, 뿐만 아니라 해당 서버의 경우 악성코드 유포지로 악용된 정황도 발견됐다”고 밝혔다.

이보다 앞서 지난 2일에는 XX마케팅 사이트에서 디페이스 해킹을 당한 정황이 감지됐다. 해당 사이트는 ‘HACKED BY YASARTIM AF YOK SIZE’라고 표기돼 있다.

2. XX여대 관련 사이트
지난 3일 XX여대 관련 사이트에서는 블랙홀 익스플로잇 킷(Blackhole Exploit Kit) 공격이 탐지됐다. 해당 사이트에서는 의심스러운 악성URL과 스크립트가 탐지됐으며, 사용자 정보 및 쿠키를 확인하는 것으로 분석됐다.

▲지난 3일 XX여대 관련 사이트에서 블랙홀 익스플로잇 킷 공격이 탐지된 화면

지난 1일에는 특정 대학교에서 운영중인 대학원을 비롯해 XXX아트 심포지엄, XXX판타지 게임 사이트에서 워드프레스 취약점을 이용한 악성코드 유포행위가 포착됐다.

이에 대해 제로서트 측은 “호스팅 업체와 워드프레스 기반 웹사이트를 타깃으로 악성URL이 잇따라 포착되고 있다”며 “웹사이트 관리자는 워드프레스 업데이트 유무와 웹사이트 이상 유무를 확인하고 점검해야 한다”고 당부했다.

3. XX자동차노동조합 아산공장위원회 사이트
지난 1일에는 XX자동차노동조합 아산공장위원회 사이트에서, 1월 30일에는 전국금속노동조합 XX자동차지부 아산공장위원회 사이트에서 악성스크립트가 탐지됐다.

▲ 지난 1월 30일 악성스크립트가 발견된 전국금속노동조합 XX자동차지부 아산공장위원회 사이트

이를 본지에 제보한 메가톤(닉네임)은 “공격자가 보안이 허술한 웹페이지에 사용자 모르게 악성코드를 삽입했다”며 “웹페이지를 접속하면 자바스크립트(Java Script)가 암호화돼 있고, 익스플로잇 취약점을 이용한 블랙홀 익스플로잇 킷 공격으로 악성코드를 다운로드하도록 돼 있다. 특히, 해당 사이트는 지속적으로 공격을 당한 정황이 포착돼 웹사이트의 취약점 제거와 서버 점검이 필요하다”고 당부했다.

4. XXC관련 하위 사이트
이어 지난 1일 XXC 관련 하위 사이트에서 악성코드가 발견됐다. 해당 사이트는 자동으로 악성코드가 삽입된 사이트로 연결되도록 설계된 것으로 분석됐다.

▲지난 1일 XXC 관련 하위 사이트 접속시 차단횐 화면

이에 대해 메가톤은 “보안 취약점으로 인해 지속적으로 악성코드가 삽입되고, 웹사이트가 공격당했다”고 지적했다.

5. XX바나나 사이트
지난 1월 29일 귀금속 등 담보대출을 안내하는 XX바나나 사이트가 피싱 사이트로 악용됐다.

▲지난 1월 29일 애플 피싱사이트로 악용된 XX바나나 사이트

이에 대해 메가톤은 “해당 사이트의 경우 애플을 사칭한 피싱사이트로 악용됐으며, 호스팅 계정과 패스워드가 유출돼 지난 1월 2일부터 29일까지 수차례 공격을 당했다”고 설명했다.

6. XXXX특전동지회 사이트
지난 1월 29일 XXXX특전동지회사이트에서도 악성코드가 포착됐다. 해당 사이트는 과거에도 여러 번 악성코드가 삽입된 바 있는데, 이번에는 SQL 삽입 및 에러 노출, 스크립트 삽입, 파라미터 변조 등의 취약점이 발견됐다.

▲1월 29일 XXXX특전동지회사이트에서 각종 취약점이 발견된 화면

해당 사이트에 대해 메가톤은 “위험수준이 높은 취약점 건수는 CRLF 삽입 8건, SQL 에러 노출 11건, SQL 삽입 143건 등 취약점 건수는 162건으로 나타났으며, 위험수준이 중간 정도인 취약점은 패스워드 자동 완성 기능 5건, XSS 삽입 53건, 파라미터 변조 15건 등 취약건수가 총 73건이 발견됐다”고 밝혔다.

7. XXX청소년상담복지센터 사이트
지난 1월 28일에는 XXX청소년상담복지센터 사이트에서도 악성링크가 발견됐다.

▲1월 28일 악성링크가 발견된 XXX청소년상담복지센터 사이트

해당 사이트에서는 SQL 인젝션이 삽입돼 있었으며, 크로스 사이트 스크립팅(XSS: Cross Site Scripting)도 포착됐다. 이와 함께 보안상 안전하지 않은 프로토콜 지원하는 것으로 분석됐다.

8. XXX르그코리아 사이트 外
지난 1월 28일에는 XXX르그코리아, XX전자, XX산업사이트에 똑같은 악성코드 바이너리가 웹사이트에 올라간 정황이 포착됐다.

▲1월 28일 똑같은 악성코드 바이너리가 포착된 XXX르그코리아, XX전자, XX산업사이트

이에 대해 Auditor Lee는 “XX전자, XX산업사이트에 똑같은 악성코드 바이너리가 올라가 있다”며 “바이러스 탐지를 우회하기 위해 악성코드를 약간씩 변경했다”며 이용자들의 주의를 당부했다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)