본문 바로가기

벌새::Security

대한양궁협회 악성코드 유포 보안 공지의 소중함 (2014.5.18)

최근 대한양궁협회 웹 사이트 접속시 보안 패치가 제대로 이루어지지 않은 PC 환경의 경우 악성코드 감염에 노출되는 보안 사고가 발생하였습니다.

 

그런데 외부 해킹을 통해 악성코드 유포가 이루어지는 웹 사이트들과는 다르게 공지를 통해 악성코드 유포에 따른 경고를 해주는 고마운 공지가 올라왔습니다.

출처 : 대한양궁협회 웹 사이트 - 공지 사항

개인적으로 기술적인 취약점으로 인하여 해킹을 통한 악성코드 유포는 이루어질 수 있지만 피해를 당한 웹 사이트는 반드시 공지를 통해 방문자의 2차 피해가 최소화될 수 있도록 투명하게 공개해야 한다고 생각합니다.

 

특히 최근의 악성코드는 인터넷뱅킹과 같은 금전적 피해를 유발하는 경우가 대다수라는 점에서 더욱 그렇습니다.(※ 어느 웹하드 업체놈들처럼 명예훼손으로 신고하고 다니지말고... 짱나)

 

그런면에서 대한양궁협회의 용기있고 책임감 있는 악성코드 보안 공지에 대단히 감사하게 생각합니다.

 

당시 유포된 악성코드에 대한 세부적인 분석 정보는 확인하지 못하였지만 2014년 5월 14일 새벽에 유포 정보를 제공해 주신 분의 도움을 통해 아주 간략하게 살펴보도록 하겠습니다.

  • h**p://www.archery.or.kr/**/default.js (Kaspersky : HEUR:Trojan.Script.Iframer)

제보에 따르면 2014년 5월 14일 새벽 00시경 Kaspersky 보안 제품 사용자가 대한양궁협회 웹 사이트를 방문한 경우 악성 스크립트가 노출되면서 진단이 이루어지고 있었다고 합니다.

당시 전달된 내용을 기반으로 AhnLab V3 365 Clinic 보안 제품 환경에서 대한양궁협회 웹 사이트에 접속시 국내 특정 기업 웹 서버에 등록된 악성 스크립트를 불러오는 동작을 차단하는 동작을 확인할 수 있었습니다.(※ 비공식적으로 확인된 정보에 의하면 당시 유포에서는 취약점을 통해 최종 파일 다운로드는 이루어지지 않았던 것으로 보입니다.)

  • h**p://seyan****.com/conf/default.js (Kaspersky : HEUR:Trojan.Script.Iframer)

확인된 악성 스크립트를 2014년 5월 18일에 확인해보면 여전히 악성 iframe이 포함되어 있는 것을 확인되고 있습니다.

  • h**p://www.seyan****.com/index.html

해당 악성 iframe은 동일 웹 서버에 존재하는 index.html 파일을 불러오며 현재는 취약점 관련 스크립트는 존재하지 않습니다.

 

추가적인 확인을 해보면 해당 국내 기업 웹 사이트는 2014년 1월경부터 최근까지 지속적으로 악성코드 유포에 악용되고 있는 것으로 확인되었습니다.

 

문제는 위와 같은 취약점(Exploit)을 통한 악성코드 유포로 인해 시스템 감염이 이루어진 경우, 포털 사이트 접속시 가짜 포털 사이트로 연결되어 은행, 신용카드 웹 사이트로 접속을 유도하는 안내창이 생성되어 심각한 금전적 피해를 유발할 수 있다는 점입니다.

 

게다가 최근의 인터넷뱅킹 악성코드는 안드로이드(Android) 스마트폰 사용자를 추가적으로 감염시킬 목적으로 악성앱을 부가적으로 설치하도록 유도하고 있습니다.

 

그러므로 위와 같은 피해를 당하지 않도록 항상 Windows, Internet Explorer, Adobe Flash Player, Oracle Java, Adobe Reader 등의 각종 소프트웨어에서 제공하는 보안 패치를 최신 버전으로 유지하시기 바랍니다.