“호스팅 서비스에서 악성코드 유포”
상태바
“호스팅 서비스에서 악성코드 유포”
  • 김선애 기자
  • 승인 2014.12.09 09:40
  • 댓글 0
이 기사를 공유합니다

빛스캔 “개인 금융정보 노리는 악성코드, 호스팅 서비스 통해 유포”

호스팅 서비스 기업에서 운영하는 웹서비스에 악성링크와 악성코드가 올려져 있어 공격에 이용되는 정황이 발견됐다.

빛스캔은 8일 발표한 보고서를 통해 “호스팅 서비스를 받는 곳이 아니라 서비스 자체를 운영하는 곳이 공격에 이용됐으며, 전체 호스팅 서비스에 직접 영향을 줄 수 있는 권한을 획득했을 가능성이 높다”며 “단기간에 지금보다 더 심각한 대량 유포 사태가 발생될 수 있다”고 경고했다.

보고서에 따르면 중소 호스팅 서비스 기업과 노동조합 관련 웹사이트에서 악성코드와 악성링크가 배포되는 정황이 발견됐으며, 노조 관련 사이트를 통해서는 특정 집단을 타깃으로 한 공격이, 호스팅 서비스 기업은 불특정 다수를 대상으로 한 공격이 발견됐을 가능성이 있다.

노조 관련 사이트에 방문하는 사람들은 대부분 현업에 종사하고 있는 직원으로, 해당 직원의 PC를 통해 기업의 시스템 내부로 침투하기 위해 배포됐을 가능성이 있다고 빛스캔 보고서에서는 분석했다.

APT와 같은 지능형 공격은 보안에 취약한 사용자 단말을 감염시켜 이를 이용해 시스템 내부로 침투, 기밀정보를 훔치거나 시스템을 파괴하는 등의 공격을 진행하는데, 노조 관련 사이트에서 배포된 악성코드가 이러한 공격에 사용됐을 가능성을 배제할 수 없다는 설명이다.

호스팅 서비스를 감염시킨 공격은 호스팅 업체에서 직접 악성파일을 다운로드 받도록 돼 있었으며, 파밍과 공인인증서 탈취 악성코드로 확인됐다. 파밍 악성코드 기능 외에도 원격에서 통제되는 백도어 기능(좀비PC)도 동시에 가지고 있는 상태라서 개인의 금융정보 탈취 뿐만 아니라 대규모 디도스와 같은 다른 공격으로 이어질 가능성도 있다.

이번에 발견된 호스팅 서비스 공격은 악성파일이 올려져서 감염에 이용됐으며, 지난달에는 호스팅 404 페이지를 변조해 전체 호스팅 서비스에서 404가 호출될 경우 감염이 발생되도록 한 공격도 있다. 두 사안 모두 호스팅 서비스를 운영하는 업체의 서비스가 직접 공격에 이용됐다.

보고서에서는 “빛스캔은 한국 인터넷 위협레벨을 경고로 상향시킨 이후 관찰을 강화하고 있으며, 관찰 도중 발견된 공격자 서버에서 상당수의 좀비PC가 관리되고 있는 모습과 다수의 공인인증서도 수집해 놓은 상황이 관찰된 바 있다”며 “최근에는 멀웨어넷에 연동된 형태로서 상위 악성링크의 내용이 변경될 때마다, 공격 내용과 최종 악성파일이 변경 되는 형태도 계속해서 관찰이 되고 있어서, 현실의 상황을 해결할 수 있는 적극적인 관찰과 대응이 필요하다”고 밝혔다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.