정상 웹페이지의 광고배너를 통해 악성코드가 유포돼 사용자 PC의 개인정보가 유출됐을 가능성이 있다는 주장이 제기됐다.
빛스캔(대표 문일준)에 의하면 18일부터 19일까지 광고업체 드림서치의 배너에서 악성링크가 삽입돼 정상적인 웹사이트가 악성코드 유포에 이용된 사실이 확인됐다.
해당 배너를 이용하는 업체는 다수의 방문객을 확보하고 있는 인터넷 쇼핑몰, 교육기관 등이다. 드림서치는 오센, 마이데일리, 뉴시스, 10아시아 등 다수의 인터넷 매체와도 제휴를 맺고 있어 인터넷 매체 사이트를 통해서도 악성코드가 유포됐다.
이 사고는 지난 2012년 12월 드림서치 광고업체 배너가 해킹을 당해 배너에 악성링크가 삽입돼 30여개 업체가 악성코드 유포에 이용된 것과 동일하다.
최종 다운로드된 악성코드는 금융관련 개인정보 유출에 홀용되는 파밍과 백도어 기능을 갖고 있다. 악성코드에 감염된 개인 사용자 PC는 파밍 공격으로 금전적인 피해를 입을 수 있으며, 기업이나 기관의 감염자 PC는 정보유출과 추가 침입 통로로 이용될 수 있다.
이번 공격에 이용된 웹서비스는 400여개에 이르며, 대부분 쇼핑몰 등 다양한 중소업체에서 공용모듈로 사용되는 것이었다. 다수의 쇼핑몰은 국내웹서비스 전체순위 500위 이내인 곳으로, 방문자 PC가 좀비로 이용돼 2차 피해를 일으키거나 파밍과 관련된 피해가 나타날 가능성이 있다.
공격에 이용된 것은 공다 익스플로잇 툴킷으로, 자바 7종, 인터넷 익스플로러 1종, 어도비 플래시 1종의 취약점을 활용하고 있으며, 완벽한 보안패치가 되지 않은 사용자는 악성코드에 감염될 수 있다. 자바와 플래시는 업데이트 관리가 용이하지 않기 때문에 웹서핑이 가능한 모든 PC 자원에 감염됐을 가능성이 있다.
빛스캔 관계자는 “악성링크를 삽입하는 것은 해당 서버에 대한 권한을 공격자가 확보하고 있다는 것으로, 광고배너를 운영하는 서버에 대한 보안 검토와 대책이 시급하다”며 “드림서치가 아니라 정상적인 웹사이트를 방문하는 사용자 PC를 감염시키기 때문에 더 심각하다”고 말했다.
