울지않는벌새 : Security, Movie & Society

디시인사이드(DCInside) 접속시 "api.tistory.us" 사이트를 이용한 납치 문제 (2014.1.5)

벌새::Security

디시인사이드(DCInside) 웹 사이트를 개인적으로 거의 접속하지 않는 관계로 소문으로만 듣고 있던 "api.tistory.us" 사이트를 이용한 납치 행위를 통한 돈벌이 마케팅에 대해 몇 가지 살펴보도록 하겠습니다.

 

우선 해당 증상은 2012년 4월경부터 발생한 것으로 판단되며, 사용자가 디시인사이트(DCInside)를 포털 사이트 등 인터넷 검색을 통해 접속하는 과정에서 랜덤(Random)하게 납치가 이루어지고 있는 것으로 판단됩니다.

 

  <웃는하루의 블로그> api.tistory.us 상세 분석 (2013.7.5)

 

이미 "api.tistory.us" 사이트에 대한 이슈는 작년부터 정보가 공개되어 상세 분석된 글도 존재한 것으로 보이며, 현재까지 지속되고 있는 현재 진행형 사이버 범죄 행위로 판단됩니다.

우선 "tistory.us" 도메인 소유자에 대해 조사를 해보면 미국의 GoDaddy 호스팅 서비스에 등록된 것으로 보이며, 등록자는 중국(China) 및 잠비아(Zambia)에서 등록된 것처럼 허위 정보를 입력하였습니다.

하지만 "tistory.us" 서버를 통해 유추해보면 국내인의 소행이 아닌가 강한 의심을 주는 정보도 존재합니다.

 

실제 운영되고 있는 납치 수법을 살펴보면 사용자가 네이버(Naver) 검색 서비스를 이용하여 디시인사이트(DCInside) 관련 검색을 통해 웹 사이트 접속을 시도하는 과정에서 간헐적으로 납치가 이루어지고 있습니다.

이 과정에서 연결 정보를 확인해보면 사용자가 네이버(Naver) 검색 결과를 클릭하여 디시인사이트 호스트(gall.dcinside.com)에 접속할 경우, 리퍼러(Referrer) 체크를 통해 "api.tistory.us/index.php" 웹 서버로 납치를 수행합니다.

 

이 과정에서 사용자는 디시인사이드(DCInside) 웹 서버에서는 어떤 정보도 받아오지 못하는 것으로 보아, 디시인사이드(DCInside) 웹 서버에 존재하는 특정 콘텐츠로 인한 문제는 아닌 것으로 판단됩니다.

 

즉 이 말은 디시인사이드(DCInside) 웹 서버로 연결되는 중간의 호스팅 서버에 삽입되어 있는 알 수 없는 무엇인가가 디시인사이드(DCInside) 웹 서버 접속 과정을 모니터링하여 납치 행위를 수행하는 것이 아닌가 강하게 의심이 되고 있습니다.(※ 인터넷 상에서는 디시인사이드(DCInside) 접속 이외의 타 사이트 접속시 해당 증상이 발견된다는 부분은 발견하지 못하였습니다.)

이를 통해 연결되는 웹 사이트 중 한 곳의 경우에는 "명품 직수입 할인매장" 관련 쇼핑몰이며, 연결된 주소에는 "baker"라는 특정 인자값이 포함되어 있습니다.

여기에서 "api.tistory.us" IP 주소를 기준으로 조사해보면 2013년 9월경 또 다른 도메인을 이용한 "명품 직수입 할인매장" 웹 사이트가 존재하였으며, 최근에는 비트코인(BitCoin)에도 관심이 있는 운영자가 아닌가 생각됩니다.

또한 또 다른 도메인의 경우에는 서버 관리를 못해서 발생한 것인지 알 수 없지만 페이팔(Paypal) 관련 피싱(Phishing) 사이트도 운영되었던 부분을 발견할 수 있습니다.

아무튼 위와 같이 사용자가 네이버(Naver) 검색을 통해 디시인사이드(DCInside) 웹 사이트에 접속을 시도하는 과정에서 "api.tistory.us/index.php" 웹 서버를 경유하여 쇼핑몰 웹 사이트로 자동 납치가 이루어지고, 해당 쇼핑몰 접속 리퍼러(Referrer)에서는 네이버(Naver) 검색을 통해 접속이 이루어진 것으로 표시됩니다.

 

하지만 리퍼러(Referrer)를 자세히 살펴보면 네이버(Naver) 검색어가 자신의 쇼핑몰과는 하등의 관계가 없는 디시인사이드(DCInside) 관련 검색어임을 고려한다면 "api.tistory.us/index.php" 웹 사이트 운영자와 깊은 관련이 있거나 묵인하는 것으로 보입니다.

또 다른 연결 사례를 살펴보면 사용자가 네이버(Naver) 검색 서비스에 디시인사이드(DCInside) 관련 검색어를 입력하여 접속하는 과정에서 "211.224.130.82/go.php?f=baker" IP 서버로 연결을 시도하는 부분을 발견할 수 있습니다.

 

해당 IP 주소를 확인해보면 골프 관련 웹 서버로 외부 해킹 또는 해당 웹 서버 개발(운영)과 관련된 인물이 악용하는 것이 아닌가 생각되며, 해당 주소에도 "baker"라는 공통된 특정 인자값을 가지고 있습니다.

해당 IP 서버를 경유하여 보안 전문 구인구직 사이트(boanlink.com)의 특정 하위 주소로 납치가 이루어지고 있습니다.

연결된 웹 페이지에는 구글 애드센스(Google AdSense) 광고 배너가 포함되어 있는 의미없는 사이트로 광고 노출을 통한 수익을 얻으려는 것으로 보이며, 구인구직 사이트(boanlink.com)를 해킹하여 악용하는 것이 아닌가 강한 의심이 듭니다.

 

위와 같이 디시인사이드(DCInside) 웹 사이트를 네이버(Naver) 등 포털 검색을 통해 접속하는 과정에서 자동으로 쇼핑몰, 광고 배너가 포함된 웹 사이트 등으로 자동으로 납치가 이루어지는 동작을 통해 유추할 수 있는 부분은 다음과 같습니다.

  1. "api.tistory.us" 웹 서버 운영자는 2012년 4월경부터 현재까지 특정 대형 웹 사이트를 표적으로 특정 접속 조건에 부합할 경우 랜덤(Random)하게 납치가 이루어지고 있다.
  2. 디시인사이드(DCInside) 웹 사이트 관리 부실의 문제로는 보이지 않지만, 사이트 관리자의 의지 부족으로 해당 증상을 간과하는 것으로 보인다.
  3. 디시인사이드(DCInside)가 속해있는 웹 호스팅 서버를 누군가 악용하고 있는 것으로 보인다.
  4. "api.tistory.us" 웹 서버 운영자는 쇼핑몰 운영, 웹 사이트 제작/판매(매매), 서버 관리자와 관련된 자로 추정된다.

위와 같은 "api.tistory.us" 웹 서버를 이용한 사이트 납치 행위를 차단하기 위해서는 해외 일부 보안 제품(avast!, Trend Micro 등)에서는 연결시 자동으로 차단이 이루어지고 있는 것으로 보이며, AhnLab V3 및 웹 사이트 차단 기능을 제공하는 보안 제품을 사용하시는 분들은 다음과 같이 차단을 하시기 바랍니다.

AhnLab V3 보안 제품의 환경 설정의 "웹 보안" 메뉴에서 "api.tistory.us" 주소를 입력하여 "차단"에 추가하시기 바랍니다.

차단된 환경에서는 사용자가 디시인사이드(DCInside) 웹 사이트를 접속하는 과정에서 "api.tistory.us" 웹 서버를 경유하는 납치 행위시 자동으로 사이트 차단이 이루어지는 것을 확인할 수 있습니다.

 

현재까지는 금전적 목적으로 쇼핑몰, 광고 배너 사이트로 납치를 시도하지만, 연결되는 웹 사이트 중에서는 해킹을 통해 제작된 웹 페이지가 있는 것으로 보아 차후 악성코드 또는 피싱(Phishing) 사이트를 통해 문제를 유발할 수도 있으므로 반드시 차단하시길 권장합니다.