KISA, 중국發 해킹 악성코드 숙주사이트 분석...숙주서버가 국내만 '수백개'
국내 유명 웹사이트를 해킹해 악성코드 유포지로 악용하는 일명 중국발 해킹이 여전히 기승을 부리고 있는 가운데, 한국정보보호진흥원이 이같은 해킹을 당해 악성코드를 유포하는 숙주사이트를 분석한 결과, 불과 34시간만에 1000명 이상이 악성코드 파일에 접속했던 것으로 확인됐다.

이중 자신의 PC에 보안패치가 제대로 설치 안된 사용자들의 경우, 온라인 게임계정 정보를 빼내는 악성코드에 실제 감염됐을 것으로 추정된다.

이 사례를 비춰, 중국발 해킹을 당해 악성코드 숙주 및 유포지로 악용당한 국내 및 중국 현지 웹사이트 수가 지난 5월부터 10월 말까지 1000개가 넘는다는 점을 감안하면, 실제 중국발 해킹에 의한 악성코드 감염피해 건수는 상상을 초월할 것으로 분석된다.

9일 한국정보보호진흥원(KISA)에서 발표한 '10월 인터넷침해사고 동향 월보'에 따르면, KISA 인터넷침해대응센터가 지난달 중국발 해킹에 당한 악성코드 숙주 사이트를 탐지, 정밀 분석한 결과, 피해 시스템에 악성코드가 삽입된 10월 16일 오전 5시부터 사고분석을 진행한 17일 오후 3시까지 해당 악성 파일에 접속한 사용자 PC가 총 1217대인 것으로 조사됐다.

피해 사이트는 잘 알려지지 않은 소규모 웹사이트. 그럼에도 불구하고 불과 34시간 동안 접속자 수가 1000여명이 넘는 것은 해커가 비교적 네티즌 접속이 많은 웹사이트들을 다수 해킹해, 이곳 숙주 사이트에 링크(iframe 방식)를 걸어두면 해당 사이트들에 접속한 사용자 PC들이 이곳 악성파일에 자동 접속되기 때문.

이 숙주 서버에는 해당 홈페이지를 방문한 일반 PC 사용자들을 감염시키기 위한 악성코드(vcx.htm, ray.js, icyfox.js)들이 숨겨져 있는데, 이 파일들은 홈페이지를 방문한 사용자 PC가 적절한 보안패치가 이루어지지 않았을 경우, 게임관련 아이디, 패스워드 등을 유출하는 프로그램들이다.

KISA는 이 보고서에서 현재 악성코드 유포사이트나 경유지 사이트들이 국내만 수백개에 달해, 이들 웹사이트들을 그대로 방치할 경우, 앞으로 인터넷 이용자들에게 엄청난 보안위협이 될 수 있다고 경고했다.

현재까지는 대부분 웹서버 해킹이 게임관련 정보를 유출하기 위해 이루어지고 있으나, 개인의 금융정보나 기업의 산업정보 또는 국가 기밀정보도 같은 방법으로 유출될 가능성도 크다.

KISA 관계자는 "일반 웹서버 관리자들도 주기적인 로그 검사와 시스템 분석을 통해 자사의 웹사이트가 악성코드 유포에 악용되고 있는지 점검할 필요가 있으며, 일반 PC 사용자들도 최근 보안패치를 항상 유지해 악성코드 감염을 예방해야한다"고 당부했다.

한편, KISA는 이 보고서에서 중국발 해킹기법이 이전에는 주로 게시판에 존재하는 'SQL 인젝션(Injection) 취약점'을 이용했으나, 최근에는 게시판에 글과 함께 그림파일 등을 함께 올릴 수 있도록 하는 파일 업로드의 취약점을 이용한 해킹수법이 종종 발견되는 등 점차 다양화되고 있다고 덧붙였다.