[출처 : 데일리시큐]

빛스캔 “광고 대행사를 통한 악성코드 대량 유포 주의 해야”

최근 웹사이트를 직접 노리지 않고 간접적인 유포 방식을 이용해 대응을 어렵게 하는 방법이 꾸준히 발생하고 있다. 그 중 대표적인 사례가 광고 배너와 같이 외부 콘텐츠를 활용하는 방법이다.

빛스캔(대표 문일준) 측에 따르면, 지난 10월 18일~20일까지 메크로스의 메인페이지와 이벤트페이지에서 악성코드를 유포하기 위한 정황이 포착되었다고 전했다.

특히 메크로스 이벤트 페이지 같은 경우에는 마일리지 포인트를 P2P업체인 지파일 다운로드 코인으로 교환해주고 있는 이벤트가 진행 중이었기 때문에 메인페이지보다 많은 사용자가 접속했을 것으로 추정된다.

메크로스 같은 경우에는 기존 인터넷 광고 대행사와는 달리 포인트를 활용하는 형태의 캠페인도 대행하는 회사로 알려져 있으며 상당수의 고객사도 보유하고 있는 것으로 알려져 있다. 참고로, 메크로스에서는 이틀간에 걸쳐서 악성링크가 두 차례에 걸쳐 교체되었으며, 이 중에는 최근에 국내 웹사이트에서 활발히 활동하고 있는 Sweet Orange Kit도 포함되어 있었다.

빛스캔 관계자는 “더욱 우려되는 점은 악성코드 유포가 어제, 오늘의 일이 아니라 [그림 2]와 같이 지난 2년간 계속 악성링크의 삽입이 반복되고 있다는 것”이라며 “메크로스의 최초 유포는 지난 2013년 10월 처음 등장했으며 당시에는 이벤트페이지를 통해서만 약 2개월여간 유포되었다. 이후 2014년 3월 메인페이지를 통해 악성링크 삽입이 이루어졌으며 발견된 이후로는 메인페이지와 이벤트페이지가 동시에 같은 악성링크의 영향을 받는 것으로 나타나고 있다”고 설명했다.

또 “이런 상항을 종합해 보았을 때 현재 메크로스사의 서비스에 대한 권한은 2013년부터 공격자가 소유하고 있는 것으로 추정되며 따라서, 협력 관계에 있는 파일공유 및 포인트 카드 업체들도 메크로스와 연결된 부분이 있다면 잠재적 위험에 지속적으로 노출되었을 가능성이 높은 상태”라고 우려했다.

물론, 이 문제의 근본 원인은 메크로스 웹사이트 자체의 문제일 가능성이 크다. 웹사이트 내의 컨텐츠 변조는 공격자가 웹서버의 권한을 가지고 있거나, 웹쉘과 같은 백도어를 심어 둔 상태에서 가능하기 때문이다. 따라서 웹서버의 보안을 강화하지 않는다면, 꾸준히 이러한 악성코드 유포 행위가 발생할 수 밖에 없다. 또한 PC 사용자도 백신을 사용하고, 윈도 및 자바와 플래시에 대한 최신 보안 패치를 꾸준히 해줘야 하는 등 보안에 신경을 쓰는 것이 최소한의 대비책이라 할 수 있다.

빛스캔 측은 “외부서버에서 제공되는 페이지가 변조 되었다고 하더라도 실제 해당 이벤트 페이지를 이용하는 기업 사용자들이 피해를 입게 된다. 일반 사용자 입장에서는 외부 서비스가 악성코드를 감염시켰는지의 여부는 중요하지 않다”며 “단지 자신이 사용하고자 하는 서비스를 이용할 때에 감염된 것만 것 중요하게 여길 뿐이다. 외부 링크를 활용하는 곳들에서도 주기적인 변조 및 상시적인 악성코드 감염 여부를 확인 할 수 있도록 여러 대책들을 강구하여 서비스 이용자들의 안정성을 지킬 수 있도록 노력해야 할 것”이라고 강조했다.

<★정보보안 대표 미디어 데일리시큐!★>

데일리시큐 길민권 기자 mkgil@dailysecu.com