주말을 맞아 P2P 사이트 이용이 늘어날 것으로 추정되는만큼 인터넷 사용자들의 주의가 필요하다.
빛스캔은 최근 오픈마켓부터 부동산중개사이트, 언론사까지 다양한 사이트에서 악성코드의 유포가 활발히 이뤄지고있는 가운데 최근 다수의 파일공유(P2P) 사이트를 통해서 악성코드의 유포가 지속적으로 이뤄지고 있다고 7일 밝혔다.
오승택 빛스캔 과장은 "3월 1주차부터는 그동안 나타나지 않았던 파일공유(P2P)까지 확대되었으며 현재 매우 심각한 상황"이라고 강조했다.
이 회사에 따르면 베가디스크는 2월초부터 매주 주말기간에 악성코드의 유포통로 역할을 하고있으며 최근 6주간 끊임없이 악성코 드유포에 활용됐다. 이러한 문제를 해결하기 위한 노력을 기울이지않는다면 계속 악성코드유포통로로 활용될 수밖에 없다.
피디팝사이트는 3월 1일∼ 3월 4일까지 악성코드유포통로로 이용되었으며 이용기간동안 총 3번의 악성링크가 변화하는 모습을 보였다. 특히, 2차 유포 확인시점 이후부터는 모두 같은 악성파일(바이너리)를 다운로드하기도 했다.
공격자는 악성링크 삽입 시 일반사용자가 모르게 숨겨놓는 경우가 대부분지만 지난 주말 티디스크와 오디스크에서는 공격자가 심어놓은 악성링크 소스가 그대로 메인홈페이지에 노출되는 모습이 이례적으로 관찰됐다.
사이트의 소스가 변경되어 사용자에게 노출되었음에도 불과하고 현재까지도 두사이트에서는 같은 현상이 계속 발생되고 있는 상태다.
특히, 이 두사이트 모두 메인페이지에서 소스링크가 노출되었고 같은 악성코드 유포지로 연결되는 것을 보았을 때 동일공격자의 소행일 가능성이 높다고 보여진다.
파일사이트를 통한 공격에는 공다팩(Gondad Pack)과 카이홍(Caihong) 공격 도구가 사용된 것으로 확인됐다.
특히, 카이홍(Caihong) 공격도구는 기존 6개의 취약점을 이용했지만 최근 8개의 취약점을 이용하는 것으로 확인되었으며 활용하는 취약점의 숫자가 늘어난 만큼 완벽한 보안패치가 이뤄지지 않은 사용자라면 언제든지 감염될 수 있는 위험한 상태이다.
추가적으로 악성코드 유포지에서 최종적으로 다운로드한 악성파일은 대부분 파밍용악성코드로 확인됐다.
오승택 과장은 "최근에는 악성코드를 유포하기 위한링크를 웹사이트의 공용모듈에 삽입하는 형태가 종종 나타나고있다"며 "공용모듈이란 웹사이트시작페이지, 내부페이지 등 모든페이지에 공통적으로 사용되는 .html 또는 .js파일을 의미한다. 공격자가 공용모듈에 링크를 삽입함으로써 어느페이지를 방문하더라도 감염시도를 하게되는 장점을 가진다"고 설명했다.
오 과장은 "취약한 웹 사이트에내에 삽입되어있는 악성링크(비정상링크)에 의해 대량으로 유포되는 문제점을 해결하지 않는한 이러한 공격을 차단하기 어려운 상황"이라며 "또한 새로운 공격이 지속적으로 발생하기 때문에 전체 범위를 모니터링하고사전 탐지하지 않은 이상 예측이 힘들 수밖에 없다"고 밝혔다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지