국내 유명정치사이트, 방문만해도 감염되는 제로데이 악성코드 유포

글자 작게 글자 크게 인쇄하기
국내 유명 정치사이트에서 발견된 악성코드. 악성파일 제작자는 최종 Exploit 코드를 4개로 구분하여 사용하였는데 영어(EN), 중국어(ZH), 일어(JA), 한국어(KO) 등의 순서로 조건문이 실행되도록 작성하였다.
<국내 유명 정치사이트에서 발견된 악성코드. 악성파일 제작자는 최종 Exploit 코드를 4개로 구분하여 사용하였는데 영어(EN), 중국어(ZH), 일어(JA), 한국어(KO) 등의 순서로 조건문이 실행되도록 작성하였다.>

국내 유명 정치관련 사이트가 은밀히 변조돼 악성코드 유포처로 활용됐던 사실이 드러났다.

연말 대선을 앞두고 정치 관련 사이트 악용으로 혼란이 우려된다. 사이트 방문만 해도 MS 제로데이 취약성에 감염돼 개인정보 등이 유출될 수 있기 때문에 관련 전문가들은 정치 사이트의 보안성을 강화해야한다고 지적했다.

잉카인터넷, 빛스캔 등 국내 보안전문기업들은 국내 유명 정치관련 사이트가 은밀히 변조돼 마이크로 소프트(MS)의 `IE제로데이공격(CVE-2012-4969) 취약점 공격`이 진행 중인 정황을 확인했다고 26일 밝혔다.

지금까지 국내 특정 웹 사이트가 중개 경유지로 악용된 사례는 몇 건 보고된 바 있지만 실제 국내 이용자를 대상으로 한 본격적인 공격이 발견되기는 처음이다. 특히 악성파일의 유포지와 경유지 등이 모두 정치 관련 사이트라는 점에서 주목된다.

현재 MS 제로데이 취약성에 감염됐던 정치 관련 사이트는 MS의 긴급 패치 발표 및 국내 보안업체·기관들의 비상 조치로 취약성이 제거된 상태다.

이번 정치관련 사이트에서 유포된 악성코드의 악성파일 제작자는 최종 Exploit 코드를 4개로 구분, 사용했는데 영어(EN), 중국어(ZH), 일어(JA), 한국어(KO) 등의 순서로 조건문이 실행되도록 작성했다. 보안 취약점이 정상적으로 작동하게 되면 국내의 또 다른 사이트로 접속, 암호화되어 있는 `inst.cab` 파일을 다운로드해 정상적인 EXE 파일 형태로 복호화하고 실행한다.

감염되면 원격 C&C(Command and Contro) 호스트 서버에 접속, 일반적인 원격제어 기능 등의 다양한 보안위협에 놓이게 될 수 있다. 즉 좀비 PC가 되어 공격자의 뜻대로 PC가 멋대로 움직일 수 있다. 사용자의 모든 컴퓨터 권한이 공격자에게 노출되어 예기치 못한 피해를 입을 수 있는 치명적인 위험에 놓일 가능성이 높다.

문종현 잉카인터넷 팀장은 “연말 대선을 앞두고 대체적으로 보안이 취약한 정치 관련 사이트를 노린 공격이 더욱 기승을 부릴 수 있으니 관련 사이트들은 보안시스템 및 최신 패치 등을 적용해야한다”며 “사용자들도 최신 패치 적용 등 PC 안정성을 높일 수 있는 보안 수칙들을 지켜야할 것”이라고 말했다.

장윤정기자 linda@etnews.com