야후 서버 해킹 수천명에 악성코드 유포

일반입력 :2014/01/06 09:45    수정: 2014/01/06 10:01

손경호 기자

야후 광고서버가 최근 악성코드 유포 통로로 악용돼 전 세계 수 천 명 사용자들이 악성코드에 감염된 것으로 나타났다.

5일(현지시간) CNN등 외신에 따르면 네덜란드 보안회사 폭스-IT는 자사 블로그에 야후 서버가 (사용자들에게) 익스플로잇킷을 유포하는 통로로 악용됐다고 밝혔다.

익스플로잇킷은 자바, 플래시, 인터넷익스플로러 등 여러 프로그램의 취약점을 한꺼번에 공격하는 해킹용 툴이다. 해당 공격에는 자바 취약점에 공략해 추가적인 악성코드를 설치하는 방식이 사용됐다.

폭스-IT는 야후닷컴을 방문한 클라이언트들은 'ads.yahoo.com'이라는 도메인에 접속해 광고정보를 받는다며 이들 중 일부 광고가 악성기능을 가졌다고 설명했다.

블로그에 따르면 광고서버에 접속하게 되면 아이프레임(iframe)을 통해 해당 페이지에 광고가 표시된다. 광고 정보를 불러오는 HTTP 주소 중 일부가 악성코드를 유포하는 통로로 악용됐다.

익스플로잇킷을 통해 해킹한 시스템에는 제우스, 안드로메다, 도크봇/Ngr봇, 광고 클릭 사기용 멀웨어, 틴바/Zusy, 네큐르스 등 정보수집, 광고클릭사기, 금융정보탈취 등을 목표로 하는 악성 프로그램이 추가로 설치된다.

폭스-IT는 일반적인 악성코드 감염률이 9%라고 가정하면 시간 당 2만7천번 감염이 이뤄졌으며 영국, 프랑스, 루마니아 등이 가장 많은 피해를 입었다고 설명했다.

왜 이들 나라가 주요 공격 대상이 됐는지는 구체적으로 알려지지 않았으나 악성 광고가 해당 지역에 유포되도록 설정됐을 가능성이 높았던 것으로 추정된다.

일단 악성코드에 감염된 PC는 해커들이 외부에서 침입해 이와 연결된 다른 시스템이나 서버에 침투할 수 있게 된다.

야후는 최근 광고 방식으로 사용자들에게 악성코드를 유포하는 수법을 확인했다며 해당 악성코드를 발견 즉시 삭제하고 이러한 활동을 한 광고를 모니터링해 차단조치하고 있다고 밝혔다.

폭스-IT는 아직 누가 이 공격의 배후에 있는지는 확실치 않지만 자금 탈취를 목적으로 한 것으로 보인다고 추정했다. 이 회사는 지난달 30일에 처음 해당 공격에 대한 조사 내용을 공개한 바 있다.

관련기사

공격을 차단하기 위해서는 악성 광고를 전송하는 '192.133.137/24', '193.169.245/24' 등 서브넷 IP주소를 차단조치해야 한다.

알렉사에 따르면 현재 야후는 하루 평균 2억8천만명이 방문, 16억회 페이지뷰가 발생하고 있다.