대한항공 왜 이러나 '사이트서 또 악성코드 유포'

대한항공여행사진공모전에 업로드 된 악성코드 – 2015년 1월 22일[자료 = 빛스캔 제공 ]

아주경제 장윤정 기자 = 대한항공이 운영하는 웹사이트가 또 악성코드 유포지로 악용된 것으로 확인됐다.

대한항공의 악성코드 유포는 지난해 12월 9일(본지 10일자 참조) 올해 1월 20일, 22일 등 벌써 세 번째다. 한두번도 아닌 세번째 악성코드 유포가 탐지된 것은 변명의 여지 없이 대한항공의 보안 관리가 허술한 증거라고 보안전문가들은 지적하고 있다. 

국내 보안업체 빛스캔(대표 문일준)은 대한항공의 하위 웹사이트에서 악성코드가 유포됐다고 28일 밝혔다.

악성파일의 배포에 이용된 하위 서비스는 '대한항공여행사진공모전' 서비스다. 지난해 12월 9일 발견된 사이트 역시 대한항공의 하위 웹서비스 '내가그린예쁜비행기' 캠페인 사이트였다. 

공격자는 차단을 회피하기 위해 국내 서비스에 직접 악성파일을 올려서 중개하는 용도로 사용된 것으로 확인된다. 

대한항공여행사진공모전의 웹사이트를 통해 배포된 악성코드는 20일과 22일에 각기 다른 성격을 가진 파일로 분석됐다.

20일에는 해외서비스인 '핀터레스트(PINTEREST)'를 이용하는 포트 번호별 파밍으로 확인됐다. 22일에는 중국최대 소셜 서비스인 QQ메신저를 이용하는 파밍이다.

해당 파밍 악성코드는 백신에도 탐지되지 않는다. 국내 백신들의 탐지를 기본적으로 우회하는 기능이 탑재돼 있다. 

문일준 빛스캔 대표는 "대한항공 관련 사이트 방문만으로 악성코드가 감염되지는 않는다"며 "그러나 특정 사이트에 접속한 사용자가 감염되는 악성코드가 저장된 곳이 대한항공 관련 사이트"라고 설명했다. 

또 그는 “대한항공 하위 웹사이트에서 악성파일이 업로드돼 감염에 이용되는 정황이 지속적으로 발견되고 있다”며 “해외 공격자들이 국내 주요 기반 시설을 지속적으로 공격하고 있어 항공관련 서비스도 내부 중요 시스템을 점검하고 침입 분석과 대응이 병행되야 한다”고 강조했다.