결제대행(PG) 서비스 기업 KSNET의 고객지원 사이트인 KSPAY 게시판에 악성링크가 삽입돼 방문자의 PC를 감염시키는 공격이 발생했으며, 지난 14일 KSPAY는 공격을 차단하기 위해 사용자에게 게시판 첨부파일 업로드를 하지 말 것을 사용자에게 공지하고 파일 업로드 취약점 조치를 취한 바 있다.
빛스캔이 이 공격을 분석한 결과 이 공격은 파일 업로드 취약점을 이용한 것으로, 가장 많이 사용하는 웹 취약점 중 하나다.
이번 공격은 스위트 오렌지 키트의 변종으로, 신규 최약점을 이용하고 있었는데, 최신 보안패치가 적용되지 않은 사용자는 악성코드에 감염될 가능성이 높은 것으로 분석됐다. 또한 다운로드되는 악성 파일(바이너리)은 트로이 목마의 일종으로, 공인인증서 유출 등 개인 금융 정보를 노리는 공격도 포함된 것으로 분석됐다.
이 공격은 게시판 등에서 사용자가 입력하는 정보 중 이미지 파일 또는 문서 파일을 업로드하는 프로그램 모듈에서 확장자를 제대로 확인하지 않아서 발생한다.
악성코드를 유포하는데 이용되는 악성 링크는 대부분 웹서버의 취약점을 이용해 해킹하거나, 웹쉘을 관리자 모르게 업로드한 후 적절한 시기에 악성 링크를 삽입하는 공격을 수행한다. KSPAY의 경우에는 파일 업로드 취약점을 이용해 웹서버에 악성링크가 포함된 웹페이지를 업로드해 이용한 것으로 추정된다.
KSNET 관계자는 “이 공격은 포모스 게시판의 악성링크를 통해 KSPAY가 유포지로 악용된 것으로, 결제대행 서비스와는 무관하고 서비스는 안전하게 관리되고 있다”며 “KSNET은 파일업로드 취약점을 보완조치하고 공격지에 대한 차단과 모니터링을 강화하고 있다”고 밝혔다.
