해킹당한 웹사이트 통해 악성코드 급속 확산

안철수연구소(대표 오석주 www.ahnlab.com)가 최근 중국발 해킹을 당한 웹사이트를 통해 악성코드가 빠르게 확산되고 있다고 27일 발표했다.

안철수연구소 시큐리티대응센터에 따르면 지난 23일부터 20여곳 기업이 유사한 해킹 피해를 입어 신고한 것으로 나타났다.

이 악성코드에 감염되면 온라인 게임 사용자는 자신도 모르게 계정을 도용당할 수 있고, PC의 작동 속도가 느려지거나 인터넷 접속이 되지 않는다.

기업에서는 네트워크 속도가 저하되거나 다운되는 피해를 당할 수 있다. 현재 상당수 기업이 네트워크 속도 저하와 다운 등의 증상을 보여, 신고에 나선 것으로 알려졌다.

◆동일 IP 사용 PC 줄줄이 감염

이번 해킹은 아이프레임 삽입 기법으로, 해커가 고의로 보안 취약점이 있는 웹사이트에 악의적 스크립트를 삽입, 이 페이지에 접속한 PC가 특정 인터넷 주소에 접속해 악성코드를 내려받도록 한다.

처음 다운로드되는 악성코드는 1개지만, 이 악성코드가 다른 악성코드를 연쇄적으로 내려받게 한다. 또 제작자가 악성코드를 계속 생산해 피해가 커질 우려가 높다.

안연구소측은 "다운로드되는 악성코드는 현재 확인된 것만 8개"라며 "온라인 게임 계정을 유출하는 트로이목마 'OnlineGameHack.32768.DG'와 주소결정프로토콜(ARP)을 변조하는 트로이목마 'ARPSpoofer.11701' 등이 포함됐다"고 설명했다.

ARPSpoofer.11701 트로이목마가 한 PC에 감염되면 이 PC는 동일 IP 대역폭에 있는 모든 PC를 감염시키는 숙주 역할을 한다. 같은 IP를 사용하는 기업과 아파트 단지 등에서는 한 PC만 감염돼도 전체 PC가 감염될 수 있는 것.

◆웹사이트 소스 코드 수정해 취약점 없애야

안철수연구소측은 ARPSpoofer.11701 트로이목마를 비롯한 악성코드에 감염됐을 경우, 감염 확산 방지를 위해 각 PC의 윈도를 업데이트하고 인터넷 익스플로러에 대한 최신 보안 패치를 받으라고 전했다.

또 V3 365 클리닉, V3 IS 7.0 플래티넘 등 최신 버전 통합보안 소프트웨어로 검사·치료해야 한다.

기업 보안 관리자는 네트워크 보안 장비로 해킹당한 웹사이트를 차단하고, 감염 시스템에서 다운로드를 시도하는 사이트의 도메인과 IP를 파악해 내부로 파일이 유입되는 것을 막아야 한다.

악성코드에 감염되지는 않았으나 감염된 PC로 인해 ARP 값이 변조돼 네트워크가 되지 않는 PC는 ARP 값을 초기화해야 한다. cmd 도스 창을 이용해 arp -d 명령어를 치면 모든 arp 테이블의 정보가 초기화된다.

아울러 사내 감염된 PC가 있으면 다시 변조될 수 있으므로 감염된 PC를 모두 찾아 위와 같이 조치해야 한다.

안철수연구소 시큐리티대응센터 조시행 상무는 "최근 이처럼 1차로 특정 웹사이트를 해킹해 해당 기업에 피해를 주고, 2차로 개별 PC에 악성코드를 감염시키는 다중적 공격이 늘고 있다"며 "1차 피해를 막으려면 웹사이트의 소스 코드를 수정해 취약점을 없애고, 2차 피해를 막으려면 기업과 개인 차원의 철저한 PC보안 대책이 필요하다"고 말했다.