당시 케이웨더측은 악성코드 유포 사실을 인정했으나 후속조치를 모두 취했고 지속적인 관리를 다짐했다. 하지만 지난 2월 21일에 이어 이달 11일 악성코드 유포 현상이 다시 발견된 상태다.
보안전문회사 빛스캔은 13일 케이웨더 사이트가 악성코드 유포 통로로 이용되고 있는 모습이 자사가 운영하는 PCDS(Pre-Crime Detect System)에서 확인됐다고 밝혔다.
3월 8일 악성코드 유포 흔적 - 케이웨더
빛스캔측은 "케이웨더는 2월달에도 주요 악성코드 유포 통로로 이용되는 이력이 있으며, 지속적으로 홈페이지가 악성코드 유포에 이용되는 상황을 토대로 관련 서버를 공격자가 권한 등을 탈취한 것으로 추정할 수 있다"고 말했다.
오승택 빛스캔 과장은 "최근 웹사이트 변조는 대부분 악성코드를 유포하기 위해 악성링크를 삽입하는 형태를 보이고 있으며,그 중에서도 모든 페이지에 사용되는 공용 모듈 파일에 자주 발생하고 있다"며 "더욱 우려되는 점은 현재도 케이웨더 사이트를 접속할 때마다 악성페이지로 연결되고 있지만 구글 스탑배드웨어 등 URL 차단 솔루션에서는 경고를 하지 않는 모습도 관찰되고 있어 많은 주의가 필요한 상황"이라고 말했다.
즉 비록 현재는 악성링크가 추가적인 행동을 하지 않고 있지만 내부의 권한이 있는 공격자가 언제든지 악성링크를 새롭게 바꿀 수 있어 빠른 대처가 있지 않는다면 피해는 케이웨더를 접속하는 사용자에게 돌아 갈 수 밖에 없다는 설명이다.
3월 11일 현재 남아있는 케이웨더 악성링크
공격에 사용된 자동화 도구는 공다팩(Gondad Exploit Kit)이 사용됐으며 이용되는 취약점으로는 자바 7종 IE 1종, 어도비 플래시 취약점 1종이 사용됐다.
게다가, 악성링크를 통해 다운로드 되는 바이너리는 기존의 파밍과 백도어 기능의 이외에도 추가적으로 C&C서버와 통신을 통해 명령을 주고받는 시도를 하는 등 이전과 다른 움직임이 계속 포착되고 있어 주의가 필요한 상태라고 빛스캔측은 강조했다.
한편 케이웨더에 의하면 "이달 초 한국인터넷진흥원에서 홈페이지를 포함해 취약성 점검을 받았고 당시 문제가 없다고 증명을 받았다"며 "악성코드 점검을 주기적으로 모니터링하고 있지만 공격이 워낙 다양하게 진행되기 때문에 모든 공격을 완벽히 막기는 어려운 형편"이라고 토로했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
