정보보안업체 빛스캔 “한수원 임직원PC, 지난 7월 악성코드 감염 가능성 높아”

[현재는 정상 운영중인 한수원 관련 모두투어 여행사 페이지, 사진제공-빛스캔]

아주경제 정광연 기자 =국내 정보보안업체 빛스캔은 지난 7월 한수원 직원 전용 모두투어 사이트에 악성링크가 삽입됐고 연관된 대부분의 카테고리 사이트들에도 동시에 같은 악성링크가 들어간 것으로 확인됐다고 29일 밝혔다.

이들 사이트는 한수원 임직원만 이용하도록 제작돼 일반인이 접근하기 쉽지 않다. 만약 보안에 취약한 사용자가 이 기간에 해당 사이트를 방문했다면 PC가 악성코드에 감염될 확률이 높을 것으로 빛스캔은 추정했다.

공격코드를 분석한 결과 자바, 어도비 플래시, 윈도 등 모두 8개의 취약점을 노린 카이홍 익스플로잇 킷(Caihong Exploit Kit)이 활용됐다.

당시 악성링크의 영향을 받은 사이트의 수는 모두투어를 포함해 대형 쇼핑몰 사이트 등 빛스캔이 확인한 곳만 최소 7곳이었다.

빛스캔의 사전범죄탐지시스템(PCDS) 기록상에는 지난 3월에도 모두투어 전체 서비스에서 악성코드 감염을 일으키는 정황이 발견된 기록이 있다.

빛스캔은 “당시 한수원 관련 서비스까지 영향을 일으켰는지는 확인할 수 없었지만 7월의 경우와 동일하게 전체가 영향을 받았다고 본다면 3월에도 한수원 모두투어 사이트를 통해서 임직원들의 PC가 악성코드에 감염됐을 가능성이 있다”고 밝혔다.

감염에 이용된 악성코드는 파밍과 공인인증서 탈취 기능을 기본으로 내장하는 트로이목마로 확인됐다.

빛스캔은 “현재까지 한수원 사태에서 확인된 사안은 12월 9일 이후 이메일을 통한 감염, 그리고 그에 대한 분석이 대부분”이라며 “악성코드 감염은 이메일뿐만 아니라 이용자가 상시로 이용하는 웹사이트를 통해서도 발생한다는 점에서 볼 때 한수원 모두투어 사이트 등을 통한 악성코드 감염 가능성도 충분히 고려해 봐야 할 것”이라고 지적했다.

아울러 “내부 임직원의 PC가 웹서핑을 통해 좀비 PC가 된다면 내부침입을 위한 진입지점으로 직접 이용될 수 있을 것”이라며 “웹사이트 방문으로 전파되는 악성코드를 적절히 차단하지 못한다면 감염될 수밖에 없으며, 감염된 좀비 PC는 이제 내부망을 공격하기 위한 발판이 될 것”이라고 경고했다.