다음 마계전설 게임서비스 해킹으로 악성코드 유포

아주경제 장윤정 기자 = 다음 포털의 '마계전설 게임서비스' 해킹돼 악성코드를 유포한 것으로 드러났다. 

일반적으로 보안 수준이 높은 것으로 알려진 포털사의 도메인을 사용하고 있음에도 불구하고 공격자에 의해 해킹으로 권한 획득은 물론 악성코드 감염과 악성코드 유포에 사용됐다는 것은 국내 인터넷 환경을 대상으로 하는 공격이 심각하다는 반증이다. 

빛스캔은 지난 21일 다음 포털에서 운영하는 마계전설 게임서비스가 해킹돼 해당 웹 서비스를 방문하는 사용자가 악성코드에 감염될 수 있다고 밝혔다. 마계전설 게임서비스가 해킹된 정황이 1차 발견된 것은 지난 12월 21일 01:13경이며 2차 발견은 21일 13:00경이다. 

웹 사이트 내에 삽입된 악성링크(비정상링크)에 의해서 악성코드가 '드라이브 바이 다운로드(drive-by-download)' 방식으로 자동 실행돼, 해당 악성링크에서 내려오는 난독화된 악성코드를 분석하면 총 9종류(Java 7종, IE 1종, Flash 1종)의 취약성에 의해서 감염이 이뤄졌다.

감염 이후 스케줄러에 의해 추가적으로 다운로드 되는 악성코드는 원격으로 조정이 가능한 백도어 및 금융 개인정보를 탈취하기 위한 파밍 사이트로 유도하는 것으로 분석되었다. 즉 감염 즉시, 사용자 PC의 모든 권한은 공격자에게 이미 넘어 갔다고 봐야 한다. 공격성공률이 높은 상황에서 악성코드 유포 기간내의 서비스 방문자는 감염 가능성을 심각하게 의심봐야한다.

이처럼 빛스캔의 설명에 의하면 마계전설 게임서비스의 해킹으로 해당 웹서비스를 방문하는 사용자에게 악성코드가 감염될 수 있었고, 타 사이트를 공격하는 악성링크로 직접 활용돼 더욱더 심각한 상황이다. 또한 해당사이트는 KISA에서 개발, 보급하고 있는 웹방화벽 '캐슬'을 이용하고 있었지만, 공격자는 이를 우회해 해킹했으며 권한 획득 등을 통해 악성코드를 유포하는 방식을 사용했었을 것으로 추정된다.

특히, 타 사이트에서도 해당 서비스의 악성링크가 활용되어 악성코드의 유포에 일조하는 정황도 파악됐다. 유포 확인 이후 관련 정보를 제공하여 문제를 해결한 상황이지만, 근본적인 원인제거가 되지 않는다면 재발될 가능성이 매우 높은 상태다.

빛스캔측은 "사업다각화를 위해 게임 및 여러 분야로 확장을 하는 특성상 웹서비스에 대한 관리의 중요성은 무엇보다 중요한 사안이다"라며 "서비스 사용자에 대한 직접적인 악성코드 감염은 서비스에 대한 신뢰도를 떨어뜨릴 수 밖에 없다. 특히, 게임의 경우에는 해당 게임의 데이터베이스와도 직접 연동이 되는 상태이므로 개인정보 유출, 게임 아이템 도난 등의 추가적인 피해가 발생될 가능성도 높기 때문에 사고 대응시 충분한 검토와 주의를 기울여야 한다"고 설명했다. 

또 빛스캔측은 "취약한 웹 사이트의 문제를 해결하고 위험성이 일상적으로 관리되지 않는다면 문제는 계속 될 수 밖에 없다"며  "한국인터넷의 경우 대규모 악성링크(비정상링크)에 의해 대량감염 되는 문제점을 해결하지 않는다면 악성코드로 인한 문제의 해결은 어려울 것"이라고 경고했다. 
 

다음 마계전설 게임화면