본문 바로가기

벌새::Analysis

잘못 달면 독이 되는 교육기관 웹 사이트 카운터 서비스

반응형
웹 사이트를 운영하면서 사이트에 방문하는 방문자의 수를 체크하기 위해 인터넷 상에서 무료로 제공하는 카운터(Counter) 서비스를 이용하는 경우가 있습니다.

그런데 이런 무료 카운터 서비스 중에서는 제휴 프로그램을 통해 사용자에게 통지를 하는 경우가 있는지는 알 수 없지만 해당 서비스를 사이트에 설치함으로 인해 타 서비스 프로그램이 설치될 위험성이 있는 경우가 있습니다.

특히 초중고등학교 사이트에서 이런 카운터 서비스를 달아서 악성코드를 유포하는 통로가 되는 경우를 살펴보도록 하겠습니다.


경기도 분당에 위치한 모 고등학교 홈페이지의 하단에는 그림과 같이 외부 카운터 프로그램을 추가하여 사이트 방문자를 카운터하고 있는 것을 확인할 수 있습니다.


그런데 해당 사이트에 접속하면서 다운로드되는 로그 정보를 살펴보면 해당 카운터 프로그램 내부 소스에 국내에서 서비스하는 특정 ActiveX 방식의 추가 설치 파일이 존재하는 것을 확인할 수 있습니다.


해당 배포 소스 파일을 다운로드하여 압축 내부의 westsidestory_weblaunch.dll 파일을 확인해보면 알약(ALYac) 제품에서 진단명 Trojan.Generic.376142 으로 악성코드로 분류하고 있습니다.

[westsidestory_weblaunch.dll 파일 진단 정보 - MD5 : 18fd8da426331bdcde4f2dd5d31c3c66]



이외에도 하우리(Hauri) 제품에서도 Adware.BHO.94208.C 진단명으로 진단을 하고 있으며, 실제 해당 프로그램이 설치가 되는 경우에는 추가적인 진단이 가능한 것으로 알고 있습니다.

이처럼 웹 상에서 무료로 서비스를 하는 것 중에는 유지를 위해 제휴 서비스를 추가하면서 해당 카운터 서비스의 사용자가 제대로 인지하지 못하는 과정에서 악성코드가 유포될 수 있는 통로가 될 수 있습니다.

특히 교육기관과 같은 공공 사이트에서는 외부 서비스를 추가할 경우 더욱 세심한 부분까지 확인하는 과정이 필요해 보입니다.
728x90
반응형