수능이 끝난 수험생들이 많이 방문하는 웹사이트인 학원·성형외과 사이트를 통해 악성코드가 집중적으로 유포되고 있다.
빛스캔은 2일 “수능시험이 끝나고 겨울방학이 다가오면서 성형외과와 학원가를 중심으로 악성링크가 삽입돼 방문하는 사용자에게 악성코드를 감염시키기 위한 시도가 증가하고 있다”고 밝혔다.
빛스캔에 따르면 다수의 성형외과 사이트를 중심으로는 집중적인 악성링크 삽입이 이뤄지고 있으며, 직접적인 공격코드 유포지로 활용되고 있다. 일부 성형외과 사이트는 11월 하순부터 지속적으로 악성링크 유포에 이용됐으며, 최대 1000여곳의 사이트에 영향을 주는 멀웨어넷(MalwareNet)과 결합된 것으로 분석된다.
지난달 22일 한 성형외과 사이트에서는 악성링크가 삽입된 것이 아니라 직접적인 공격코드가 특정 웹페이지 내부에 업로드 된 것이 발견됐다. 기존에는 성형외과 등 사용자가 많이 접속하고 특수한 업종의 사이트에 악성링크가 삽입돼 있는 경우가 대부분이었다.
공격에 이용된 취약점은 MS 취약점인 CVE-2014-6332로 확인됐는데, 이 취약점은 VBS 스크립트를 이용해 실행시키며, 감염을 위해 다운로드되는 악성파일은 공인인증서와 사용자 금융정보를 탈취하기 위한 가짜 은행 사이트로 연결하는 파밍 악성코드로 확인됐다.
11월 말 악성링크의 위협적인 활동과 다양한 공격킷이 활동을 하고 있다. CVE-2014-6332가 등장하면서 인터넷에 공개된 POC 코드를 그대로 취약한 웹사이트에 삽입해 감염시키는 공격이 발견됐으며, 일부에서는 기존에 사용했던 EK(Exploit Kit)과 접목시켜서 사용하기도 하고 있다. 지속적으로 발견된 모바일 타깃 악성링크는 PC와 결합하려는 시도가 보인다.
빛스캔 관계자는 “수능이 끝나고 겨울방학이 돌아오는 시점에 악성링크가 증가하는 것은 지난해에도 비슷한 경향을 보였다. 지금까지 축적된 데이터로 살펴보았을 때 12월말까지 위협적인 움직임은 계속 될 것으로 예측된다”며 “사용자는 반드시 PC와 모바일 기기에 보안패치를 업데이트하고 실시간 감시 기능을 켜놓아야 하며, 기업은 보안 취약점 점검을 통해 자사 사이트가 공격에 이용당하지 않도록 해야 한다”고 강조했다.
