3.20 사이버 테러 이후 약 두 달이 흘렀으나 YTN 웹사이트가 여전히 보안에 취약한 데다가 실제로 지난주부터 악성코드가 유포된 것으로 드러났다.
16일 빛스캔은 YTN 웹사이트를 분석한 결과 해당 사이트가 3종의 자바 취약점을 이용해 사이트를 방문하는 것만으로 악성코드가 설치되는 '드라이브 바이 다운로드' 공격이 발생했다고 밝혔다.
빛스캔에 따르면 최종적으로 감염시키는 파일은 트로이 목마 바이러스로 확인됐다. 이는 원격에서 감염 대상의 PC의 정보를 탈취하거나 추가적인 악성행위를 할 수 있게 한다.
분석 결과, 공격에 사용된 취약점은 모두 자바(CVE-2012-1723, CVE-2012,-4681, CVE-2013-0422) 취약점이라고 이 회사는 설명했다. 최신 버전의 자바 업데이트가 설치되지 않은 PC의 경우 이러한 취약점을 이용한 악성코드에 감염될 수 있다.
관련기사
- 3.20 한 달, 보안업계 대표 '말말말'2013.05.16
- YTN "2차 장애, 리눅스 서버 문제"2013.05.16
- "YTN 단순장애 아냐"...해킹 가능성↑2013.05.16
- [속보] KBS·MBC·YTN 정보전산망 마비2013.05.16
빛스캔은 또한 국내 보안 업체에서 운영 중인 악성코드 바이너리 분석 및 데이터베이스(DB) 사이트를 통해 최종 다운로드한 파일의 MD5값을 입력해 조회해 봤으나 결과가 전혀 나타나지 않았다고 설명했다.
빛스캔 관계자는 YTN 웹서버 해킹 사고 등 현재에도 여전히 사이버 테러가 발생할 가능성이 높은 상태라는 점을 간과해서는 안된다며 핵심은 공격에 대한 사전 정보 수집 및 분석을 통한 능동적으로 대처해야 하는 것이라고 밝혔다.