소셜 댓글 서비스 라이브리가 사용해 온 일부 서버를 변조해 악성코드를 유포시키는 수법이 위험수위를 넘어서고 있어 즉각적인 대응이 필요한 상황이다.
한국인터넷진흥원(KISA)은 최근 소셜 댓글 서비스를 통해 사용자PC를 감염시켰던 악성코드에 대응하기 위해 어도비 플래시 플레이어에 대한 보안업데이트를 즉각 실시해야 한다고 16일 밝혔다.
공격자는 4월 발견된 플래시 플레이어 보안취약점(CVE-2014-0515)를 악용해 사용자PC를 감염시키고, 추가적인 악성코드를 다운로드했다. 해당 취약점에 대한 패치가 이뤄지지 않은 PC에서는 기존에 소셜 댓글 서비스를 도입한 수많은 언론사 홈페이지에 방문하는 것만으로도 위험해질 수 있는 것이다.
최상명 하우리 차세대보안연구센터장은 소셜 댓글 서비스와 연동된 웹사이트 방문시 특정 라이브러리가 호출될 때 해커가 변조한 응답서버를 통해 악성코드를 사용자PC로 다운로드한 뒤 플래시 취약점을 악용해 해당PC를 감염시킨다고 밝혔다.
감염된 사용자PC는 설치된 백신이 무력화되며, C&C서버로 감염된 정보를 전송, 대규모 봇넷(좀비PC네트워크)을 형성하며, 추가적인 악성코드를 다운로드한다.
어도비 플래시에 대한 보안업데이트를 하지 않은 상태에서 감염이 의심되는 사용자들은 기존 백신을 삭제하고, 재설치하는 등 방법을 적용할 수 있다.
최 센터장은 보통 주말에 감염되는 사용자PC가 1만대 수준이었으나 이 수법을 악용한 공격이 10배에 달한다고 설명했다.
관련기사
- 3.20 악성코드 변종, 액티브X 통해 유포2014.07.16
- 10년된 한국형 악성코드…동일조직 소행?2014.07.16
- 액티브X 대신 닷넷 악용 금융악성코드 발견2014.07.16
- 소셜댓글서비스 '티토크' 악성코드 유포 경로로2014.07.16
라이브리 서비스를 제공하고 있는 시지온측은 소셜 댓글 플러그인 자체가 위변조된 것이 아니라 이와 연동되는 네트워크 망 일부 서버에 문제가 있었던 것으로 확인됐다고 밝혔다.
시지온은 앞으로 소셜 댓글 서비스 패킷을 암호화하고, 기존에 문제가 됐던 콘텐츠딜리버리네트워크(CDN) 업체 대신 아마존웹서비스(AWS)로 전면 이전했다고 설명했다.
