빛스캔 "한수원 직원 전용 웹사이트에 7월 악성링크"

입력 2014-12-29 18:22  

지난 7월 한국수력원자력(한수원) 직원을 위한 여행사 전용 웹사이트 등에서 악성코드가 유포된 정황이 발견됐다.

국내 정보보안업체 빛스캔은 지난 7월 한수원 직원 전용 모두투어 사이트에 악성링크가 삽입됐고 연관된 대부분의 카테고리 사이트들에도 동시에 같은 악성링크가 들어간 것으로 확인됐다고 29일 밝혔다.

이들 사이트는 한수원 임직원만 이용하도록 제작돼 일반인이 접근하기 쉽지 않다.

만약 보안에 취약한 사용자가 이 기간에 해당 사이트를 방문했다면 PC가 악성코드에 감염됐을 확률이 높은 것으로 빛스캔은 추정했다.

공격코드를 분석한 결과 자바, 어도비 플래시, 윈도 등 모두 8개의 취약점을 노린 카이홍 익스플로잇 킷(Caihong Exploit Kit)이 활용됐다.

당시 악성링크가 삽입된 사이트의 수는 모두투어를 포함해 대형 쇼핑몰 사이트 등 빛스캔이 확인한 곳만 최소 7곳이었다.

빛스캔의 사전범죄탐지시스템(PCDS) 상에는 지난 3월에도 모두투어 전체 서비스에서 악성코드 삽입 정황이 발견된 기록이 있다.

악성코드는 파밍과 공인인증서 탈취 기능을 기본으로 내장하는 트로이목마로 확인됐다.

빛스캔은 "현재까지 한수원 사태에서 확인된 사안은 12월 9일 이후 이메일을 통한 감염, 그리고 그에 대한 분석이 대부분"이라며 "악성코드 감염은 이메일뿐만 아니라 이용자가 상시로 이용하는 웹사이트를 통해서도 발생한다는 점에서 볼 때 한수원 모두투어 사이트 등을 통한 악성코드 감염 가능성도 충분히 고려해 봐야 할 것"이라고 지적했다.

그러면서 "내부 임직원의 PC가 웹서핑을 통해 좀비 PC가 된다면 내부침입을 위한 진입지점으로 직접 이용될 수 있을 것"이라며 "웹사이트 방문으로 전파되는 악성코드를 적절히 차단하지 못한다면 감염될 수밖에 없으며, 감염된 좀비 PC는 이제 내부망을 공격하기 위한 발판이 될 것"이라고 경고했다.

그러나 한수원 관계자는 "당시 모두투어 웹사이트 전체가 감염됐는데 모두투어 측에서 신속하게 조치를 했다"며 "통보받은 직후 한수원 내부 PC들을 검사한 결과 감염 사실이 없는 것으로 확인했다"고 밝혔다.

또 "모두투어 웹사이트가 한수원과 직접 연결된 것이 아니고 직원들도 자주 방문하는 곳이 아니다"고 덧붙였다.

한경닷컴 뉴스룸
기사제보 및 보도자료 open@hankyung.com



[한경+ 구독신청] [기사구매] [모바일앱]  ⓒ '성공을 부르는 습관' 한경닷컴, 무단 전재 및 재배포 금지

관련뉴스

    top
    • 마이핀
    • 와우캐시
    • 고객센터
    • 페이스 북
    • 유튜브
    • 카카오페이지

    마이핀

    와우캐시

    와우넷에서 실제 현금과
    동일하게 사용되는 사이버머니
    캐시충전
    서비스 상품
    월정액 서비스
    GOLD 한국경제 TV 실시간 방송
    GOLD PLUS 골드서비스 + VOD 주식강좌
    파트너 방송 파트너방송 + 녹화방송 + 회원전용게시판
    +SMS증권정보 + 골드플러스 서비스

    고객센터

    강연회·행사 더보기

    7일간 등록된 일정이 없습니다.

    이벤트

    7일간 등록된 일정이 없습니다.

    공지사항 더보기

    open
    핀(구독)!