복지넷, 악성코드 유포 '사회포털서비스도 안심 못한다'

아주경제 장윤정 기자 = 보건복지부 산하 한국사회복지협의회가 운영하는 사회복지포탈 서비스 복지넷(bokji.net) 에서 악성코드를 유포중인 것으로 나타났다. 

26일 빛스캔은 복지넷 사이트에서 드라이브 바이 다운로드(Drive-By-Download) 방식을 통한 악성코드 유포가 나타났다고 밝혔다. 드라이브 바이 다운로드란 특정 웹사이트에 악성코드를 심어놓고 접속할 시 유포되는 방식으로 사용자가 사이트에 방문하기만 해도 악성코드에 감염되는 것을 뜻한다. 

복지넷은 사회복지 및 자원봉사 관련 각종 복지정보를 종합적·체계적으로 정보화하고 이를 대국민에게 신속하게 무료로 서비스 해주는 대표적인 사회복지포털 서비스다. 지난 2012년 5월까지 접속 누적 이용자수 4000만을 돌파할 만큼 영향력이 높은 사이트다.

공격에 이용된 악성링크가 추가된 위치 확인 결과 모든 페이지에 쓰이는 공통 모듈인 sns.js 내부에 포함되어 있어 사용자가 방문하는 페이지마다 감염을 유도하게 교묘하게 삽입되어 있다.

복지넷이 악성코드를 유포한 시각은 23일 오후 4시경이며 악성코드 유포 통로는 'bokji.net/js/sns.js', 악성코드 유포지는 'nan3650.co.kr/pop/index.html', 최종파일은 'news.893.co.kr/mbl/b7a8n9k.exe'다. 

공격에 사용된 자동화 도구는 공다팩(Gondad Exploit Kit)이 사용되었으며 이용되는 취약점으로는 자바 7종 IE 1종, 어도비 플래시 취약점 1종이 사용됐다. 보안 패치를 완벽하지 않는 사용자로서는 악성코드에 노출 될 수 밖에 없다.

추가적으로 취약점을 통해 다운로드 되는 바이너리 분석 결과 트로이목마, 백도어 종류와 파밍 악성코드로 확인됐다. 만약 PC사용자가 악성코드에 감염되었다면, 그 컴퓨터는 좀비 PC일 뿐만 아니라 이미 공격자가 모든 권한을 가지고 있다고 볼 수 있다.
 

복지넷 악성코드 유포 흔적

또한, 파밍 악성코드도 함께 포함이 되어 있기 때문에 개인적인 금전적인 피해 또한 배제할 수 없는 상황이다.

오승택 빛스캔 과장은 "악성코드 유포 등을 알려주는 인터넷 익스플로러(스마트 스크린필터)와 구글의 크롬, 파이어폭스 브라우저에서도 이러한 위험을 인지하지 못하여 차단하지 못하는 상황"이라며 "그 이유로는 최근 악성코드의 움직임이 짧은 시간 동안 유포하고 다른 곳으로 이동하는 게릴라식 공격을 통해 URL을 자주변경함으로써 탐지뿐만 아니라 차단을 회피하고 있기 때문"이라고 분석했다. 

또 그는 "2월 3주 현재 언론사, 파일공유(P2P) 등 영향력있는 사이트에서의 악성코드 유포는 지속되고 있으며 일부 관찰된 악성링크는 멀웨어넷과 결합되어 영향력이 증가 되고 있다"며 "비정상적인 움직임이 지속되자 2월 3주 인터넷 위협등급을 한단계 상승 시킨 '경고' 단계로 상향 조정한다"고 경고했다.