유명 토익 어학원 웹사이트가 약 한 달 간 악성코드 유포 경유지로 활용된 것으로 나타났다.
18일 국내 보안업계에 따르면 지난 3월14일~4월15일 사이에 토익 강의로 유명한 L 어학원의 공식 웹사이트가 악성코드 유포 경유지로 악용돼 왔다는 것이다. 문제는 어학공부를 위해 수많은 사람들이 하루에도 몇 번씩 방문하는 곳임에도 불구하고 문제가 지속되고 있다는 점이다.
한국인터넷진흥원(KISA) 관계자는 이미 여러 차례 해당 어학원에 관련 내용을 통보했다고 밝혔다.
빛스캔은 모니터링 결과 15일 이후에도 악성코드 유포 경유지로 이 어학원 웹사이트가 사용되고 있다고 설명했다. 이 회사에 따르면 L 어학원 웹사이트는 정상적인 URL 주소에 공격코드를 삽입해 방문자들이 접속하면 자동으로 해당 PC의 보안취약점을 분석해 악성코드에 감염시키는 방식을 사용했다.
크게는 웹서버 내에 직접 악성코드를 심어 놓은 뒤 이를 사용자가 다운로드 하도록 유도하는 방식과 정상 웹사이트에 접속하면 다른 악성링크를 통해 악성코드에 감염시키는 '드라이브 바이 다운로드' 수법이 사용됐다. 해당 사이트가 악성코드 유포지이자 경유지로 쓰인 것이다.
심각한 것은 여러 차례 관계기관들이 모니터링한 결과를 통보했음에도 근본적인 보안취약점이 개선되지 않고 있다는 점이다. 웹서버 등에 올라온 악성파일을 수차례 삭제했으나 파일 자체보다는 취약점을 개선하는 일이 시급하기 때문이다. 이 웹사이트는 다른 악성코드 유포 경유지와 마찬가지로 공격자가 마음만 먹으면 방문자들에게 어떤 유형의 악성코드도 심을 수 있는 통로가 만들어져 있는 것이다.
악용된 취약점은 자바 취약점 6종, 인터넷익스플로러, 플래시 취약점 1종씩 총 8개가 복합적으로 사용됐다. 최근 들어 공격자들은 공다, 레드킷 등의 익스플로잇 키트를 통해 여러가지 취약점을 한꺼번에 공략한다.
관련기사
- 비행기 해킹...스마트폰으로 원격조종2013.04.18
- 유비소프트 해킹…미출시 게임도 털려2013.04.18
- 보안 적색지대, 中企를 지켜라2013.04.18
- 입시사이트서 고3 개인정보 68만건 유출2013.04.18
전상훈 빛스캔 이사는 그동안 모니터링을 통해 수차례 같은 형태의 취약점이 공개됐는데 악성파일을 지우는 것에만 그칠 뿐 근본적인 대책을 마련하지 못하고 있다고 밝혔다.
이밖에 다른 어학원 웹사이트에서 비슷한 형태의 공격이 발견되고 있어 취약점을 개선하기 위한 대책이 필요할 것으로 전망된다.
