패치 없는 MS제로데이 공격, 국내 대형 연예기획사 등에서 무차별 유포

글자 작게 글자 크게 인쇄하기
포미닛 등이 소속된 큐브엔터테인먼트에서 유포된 악성코드 현황
<포미닛 등이 소속된 큐브엔터테인먼트에서 유포된 악성코드 현황>
패치 없는 MS제로데이 공격, 국내 대형 연예기획사 등에서 무차별 유포

사용자가 홈페이지를 방문하기만 해도 악성코드에 감염되는 이른바 마이크로소프트 제로데이(Zero Day) 악성코드가 언론사, 연예기획사, 제약회사 홈페이지 등에서 무차별로 유포됐다. 이 악성코드에 감염되면 해커가 사용자 PC의 모든 권한을 탈취해 좀비 PC로 만들거나 게임계정 도용은 물론이고 데이터 탈취, 녹취, 원격조종 등 해커 뜻에 따라 움직이게 된다.

지금까지 해외에서 주로 발견됐으나 지난 주말 국내 대형 언론사와 연예인기획사 홈페이지, 팬클럽 페이지 등에서 이미 대량 유포돼 상당수 국내 사용자가 감염됐을 것으로 추정된다. 특히 연예기획사 YG엔터테인먼트, 큐브엔터테인먼트, 샤이니(팬페이지) 등에서 발견돼 청소년 사용자의 감염도 우려됐다.

28일 빛스캔·카이스트(KAIST) 사이버보안연구센터·카이스트 정보보호대학원 공동 분석에 따르면 `마이크로소프트 CVE 2012-1889` 제로데이 악성코드가 지난 주말 국내 대형 언론사, 연예기획사, 제약회사 등 다수 홈페이지에서 유포된 것으로 밝혀졌다.

CVE 2012-1889는 MS에서 아직 패치가 나오지 않은 제로데이 공격코드다. MS에서 정기패치가 나오려면 다음 달 중순까지 기다려야 한다. 이 기간에 상당한 피해가 예상된다.

전상훈 빛스캔 이사는 “제로데이는 사이트 방문만 해도 감염돼 관련 사이트를 방문한 사용자 90% 이상이 감염, 수십만명의 감염자가 발생했을 것으로 추정된다”며 “CVE 2012-1889에 감염되면 루트키트 권한을 탈취, 데이터 탈취, 녹취, 원격조종 등 해커가 원하는 권한을 설정해 사용자 PC의 모든 권한을 가져갈 수 있어 큰 피해가 예상된다”고 말했다. 이 회사 분석에 의하면 자바나 플래시를 이용한 악성코드의 기존 감염률은 60% 이상이었으나 제로데이 악성코드는 90% 이상인 것으로 조사됐다.

빛스캔, 카이스트 사이버보안연구센터 등의 자료에 따르면 연예기획사에 유포된 악성코드는 `디아블로3`를 비롯한 대부분 돈이 되는 국내외 게임계정을 모니터링하고 탈취한다.

심지어 일회용비밀번호(OTP)까지 모니터링하며 자신을 보호하기 위해 백신을 종료시키고 분석을 어렵게 하기 위해 분석방지 기능도 있다.

전 이사는 “공격자들의 목적은 금전적 이득”이라며 “만약 공격자들이 게임계정을 탈취하지 않고 국가기관이나 특정기업을 대상으로 DDoS 공격을 감행한다면 7·7 DDoS 공격보다 더욱 심각한 상황이 올 것”이라고 경고했다. 그는 또 “연예기획사 사이트 전체의 보안성이 개선되지 않는다면 악성코드 삽입은 계속될 것이며 MS가 조속히 정식 패치를 배포해야 한다”고 말했다.

한국MS 측은 지난 13일 CVE 2012-1889 패치를 발표했다. 그러나 정식 패치는 아니며 서비스에서 XML 기능을 비활성화시키는 임시방편이다.


연예기획사별 악성코드 유포 일시·시각

YG엔터테인먼트에서 유포된 악성코드 현황
<YG엔터테인먼트에서 유포된 악성코드 현황>

장윤정기자 linda@etnews.com