3.20 사이버 테러 때와 유사한 악성코드 수법이 발견된 가운데 국가사이버안전센터가 사이버위기경보 '관심' 단계를 발령했다.
15일 국내 보안업계에 따르면 지난 3.20 사이버 테러를 통해 주요 기관의 전산망이 마비된 후 3월 25일 발생한 날씨닷컴 사이트를 통한 해킹과 유사한 수법이 최근 발견된 것으로 나타났다.
KISA는 앞서 14일 한국모바일인증의 인포스캔 원격코드 실행 취약점에 대한 보안 업데이트를 권고했다. 이 내용에 따르면 개인정보보호프로그램인 인포스캔 설치의 설치용 프로그램인 'KMC 웹매니저'가 악성코드 유포에 악용된 것으로 나타났다. 취약한 버전의 인포스캔 사용자가 날씨 관련 정보를 제공하는 특정 업체의 홈페이지에 방문할 경우 악성코드에 감염될 수 있다는 것이다.
취약한 버전은 인포스캔 2.0.8 및 이전 버전이며, 여기에 사용되는 KMC 웹매니저 1.0~1.5버전도 취약한 것으로 확인됐다. 11일 해당 내용에 대해 통보를 받은 한국모바일인증은 14일 보안업데이트를 완료했다.
이 방식은 과거 3.20 이후 3월25일 공격 때 사용됐던 것과 거의 동일한 수법이다. 지난 3.20 사이버 테러 이후 민관군 합동대응팀은 조사 결과 날씨닷컴 웹사이트를 통해 악성코드가 대량 유포됐다고 발표했다.
이와 관련 해당 업체 관계자는 보안업데이트 권고를 받은 것은 무료용 버전이었다며 기업용은 액티브X를 적용하지 않기 때문에 문제가 되지 않았다고 설명했다. 최근 발견된 공격수법은 제큐어웹 대신 모바일인증솔루션이 설치된 사용자를 대상으로 공격을 시도했다.
아직 공격자의 의도가 정확하게 파악되지는 않고 있다. 다만 일반 사용자들 뿐만 아니라 기업/기관 등의 사용자를 대상으로 정보를 유출하려는 움직임이 있었는지 여부는 추가적으로 확인이 필요한 부분이다.
관련기사
- "정부기관 노린 해킹, 올해만 2만여건 예상"2013.10.15
- 日노린 해킹, 韓서버 거쳐 中 배후에...2013.10.15
- 국내 방산업체 노린 해킹조직 발견2013.10.15
- 3.20 사이버 테러범, 정보수집활동 재개 의심2013.10.15
국가사이버안전센터는 공식적으로 2013 세계 사이버 스페이스 총회 개최를 대비해 국가 공공기관 홈페이지를 대상으로 사이버 위협 발생 가능성에 대비해 대비태세를 강화했다고 밝혔다. 그러나 실제로는 3.20 때와 유사한 공격수법이 드러났기 때문이라고 보안전문가들을 추정하고 있다.
이와 관련 KISA측에서는 둘 사이 연관성은 없다고 답했다.