SK 스마트폰 W 웹사이트에서 악성코드 유포

아주경제 장윤정 기자= 최근까지 SK 텔레시스에서 운영하다 현재 방치된 웹서버에서 악성코드 유포 흔적이 발견됐다. 그외 SK 지크(엔진오일)에서도 약 2년전에 유포된 흔적이 여전히 있는 등 대기업 웹 서버 운영에 보안 취약성이 심각하다.

빛스캔은 16일 SK 스마트폰 W 웹사이트(이하 sk-w.com)에서 악성코드를 유포한 흔적이 최근인 지난 9월 12일에 당사의 PCDS(Pre-Crime Detect System)에서 발견됐다고 밝혔다. 이 사이트는 현재까지도 홈페이지의 컨텐츠가 여전히 변조된 상태로 남아 있다.

서비스가 사실상 종료된 웹사이트에 대한 공격

삽입된 URL은 'hxxp://hellobuy.com/shop/log/my/index.xxx'로, 추가 분석을 통해 해당 URL은 지난 8월 25일 경에 국내에서 최초로 발견됐다. 이후 수일간 악성코드를 유포한 것으로 추정되었다.

참고로, sk-w.com 웹사이트는 SK 텔레시스에서 운영하는 것으로, 구형 풀터치폰과 스마트폰에 대한 정보를 제공한다. 컨텐츠를 살펴본 결과 지난 2011년 하반기부터 정상적으로 운영되지 않고, 현재에는 방치된 상태로 보인다.

빛스캔측은 "sk-w.com과 같이 더 이상 정상적으로 운영하지 웹서비스에 대한 적절한 보안 대책을 강구해야 하지만, 현재까지 약 2년정도 부실하게 운영되고 있다"며 "방치된 사이트가 악성코드 유포 등에 활용돼 방문자에게 큰 피해를 입히고 있는 실정"이라고 말했다.

또 이 회사는 컨텐츠 변조를 통해 악성코드가 유포할 정도라면, 이미 공격자는 웹서버에 대한 관리자 권한을 가진다고 볼 수 있다고 분석했다. 게시판이 사용되는 것으로 보아 로컬 또는 내부 네트워크에서 DB와 연동된다고 추정할 수 있으며, 최근의 지능형지속위험(APT) 공격 등과 같이 기업이나 조직을 대상으로 하는 공격에서는 이러한 부분을 통해 내부로 잠입하는 교두보로 활용하거나, 데이터베이스 정보를 빼내는 경우가 다수 있어 더욱 문제가 심각하다는 설명이다.

이러한 문제를 해결하기 위해서는 △비 업무용 웹서버에 대한 보안 정책 수립 및 적용 △웹 취약점 점검 및 해결 △웹쉘 탐지 솔루션 도입 및 적용 △악성코드 URL 탐지 솔루션 적용 등의 조치가 필요하다.

빛스캔측은 "웹서버의 운영은 기업이나 조직이 손쉽게 개인이나 방문자에게 정보를 제공하고, 또는 개인정보를 넘겨받아 활용하는 등 손쉽게 운영이 가능하다"며 "하지만, 앞에서 언급한 바와 같이 기능에만 충실하고 보안에 대해 간과하는 경우 개인정보 유출, 악성코드 유포 등 방문자에게 치명적인 피해를 줄 수 있다는 점에서 웹서버 관리자 및 보안 관리자는 보다 많은 관심과 노력을 기울일 필요가 있다"고 강조했다.

참고로, SK지크 엔진오일 사이트(www.skzic.com)에서도 약 2년전에 악성코드 유포에 활용된 링크가 여전히 남아 있는 실정이다.