지난 1일부터 소셜댓글서비스 '티토크'가 악성코드 유포 경로로 활용된 것으로 나타났다. 이는 주요 언론사, 기업 등이 트위터, 페이스북 등과 연동해 콘텐츠에 댓글을 달 수 있도록 하는 서비스다. 이에 따라 감염 피해자들도 상당수 발생했을 것으로 추정된다.
빛스캔은 1일 새벽 1시 50분부터 3일 오전 10시까지 티토크 서비스를 악용해 악성코드가 유포된 정황을 파악했다고 밝혔다.
이 서비스는 지난 1월에도 유포경로로 악용된 바 있다. 빛스캔 측은 당시 티토크의 웹소스에 악성코드 유포 경유지의 URL이 삽입돼 145개의 언론사 웹사이트를 통해 대규모로 악성코드가 설치됐었다고 설명했다.
빛스캔 관계자는 "특히 주말에 인터넷 쇼핑이나 언론사를 방문한 이용자들은 악성코드에 감염될 확률이 매우 높았을 것으로 추정된다"고 밝혔다.
분석 결과 주말 동안 악성링크로 활용됐던 'ttalk.pickple.com/xx/xxxxxx.js' 사이트 내에 악성링크가 1줄 삽입되면서 방문자 수가 많은 국내 웹서비스에 피해를 초래하게 됐다고 빛스캔 측은 설명했다.
현재 악성코드를 유포 또는 경유하는 링크수는 줄고 있는 반면 많은 사이트들이 공통적으로 사용하는 서비스를 대상으로 하는 공격이 집중되고 있다.
문일준 빛스캔 대표는 "이미 자바와 인터넷익스플로러에 대한 패치가 나와 있지만 사용자의 정보 부족 또는 무관심으로 인해 여전히 패치되지 않은 PC가 많고, 이를 공격자가 효과적으로 활용하고 있다는 반증이기도 하다"고 밝혔다.
이와 관련 빛스캔은 " 유명 언론사 및 커뮤니티 사이트 등 확인된 사이트만 백 여개에 달한다"고 설명했다.
최종적으로 사용자 PC를 감염시키기 위해 악용된 것은 자바 취약점으로 티토크 소스를 통해 실행된 공격은 자바 취약점인 CVE 2012-1723, CVE 2012-4681, CVE 2013-0422가 악용됐다.
이 회사는 자바의 특성상 자동 업데이트가 되지 않고 사용자의 선택에 의존해야하기 때문에 보안 패치 비율은 상대적으로 낮을 것으로 예상된다고 밝혔다.
문제가 된 링크에 대해 픽플 관계자는 "지난 4월 이후 해당 언론사들은 자체 서버를 통해 관리하고 있거나 다른 소셜댓글서비스를 이용하고 있다"고 해명했다. 현재는 해당 사이트에 티토크 서비스를 제공하지 않고 있다는 것이다. 그러나 빛스캔 관계자는 "서비스가 종료됐다고 하더라도 하부에 남아있던 악성링크 주소가 최근까지도 악성코드 유포 경유지로 악용된 것은 맞다"고 밝혔다.
관련기사
- 한셀 파일 위장 악성코드, 국내 기관 노려2013.06.03
- 사내 업무용 이메일도 악성코드 주의보2013.06.03
- 좀비PC보다 무서운 '좀비 악성코드' 주의보2013.06.03
- 악성코드 품은 사이트, 5배 증가...1천844개2013.06.03
공격을 통해 설치되는 악성파일은 추가적인 악성코드를 받아오는 다운로더와 트로이목마 특성이 혼재돼 있는 것으로 분석됐다. 추가적인 공격과 원격제어에 대한 위험성이 높다는 것이다.
이와 관련 빛스캔은 악성코드 유포지를 빠르게 탐지 및 차단하고, 악성코드 유포 및 경유지로 활용된 사이트는 사용자 접속을 네트워크 단에서 차단해 감염을 예방하는 등의 대책이 필요하다고 밝혔다.