아주경제 장윤정 기자 = 택배 전문업체인 옐로우캡 택배를 통해 악성링크가 삽입, 유포되고 있는 정황이 확인됐다. 

보안업체 빛스캔은 27일 자사가 매주 발행하는 '주간보안동향보고서'를 통해 옐로우캡 택배 홈페이지에 악성링크가 삽입돼 사이트에 방문하는 사용자들을 감염시키고 있다고 전했다. 

특히 더 큰 문제는 옐로우캡 택배의 악성코드 감염으로 11번가, 옥션 등 다수 오픈마켓이 덩달아 감염돼 사용자 피해를 확신시켰다.  옐로우캡 택배는 11번가, 옥션 등 다양한 쇼핑몰과 제휴 협력을 맺은 상태다.

오승택 빛스캔 과장은 "악성링크는 공용 모듈에 삽입되어 있어 방문자가 어느 페이지로 접속을 하든 악성링크가 실행되는 현상이 나타나고 있다"며 "보안 패치가 되어 있지 않은 취약한 사용자는 악성코드의 감염될 수 밖에 없다"고 밝혔다.

빛스캔의 악성링크 분석결과 자바 7종, IE 1종, 어도비 플래시 1종의 취약점을 이용하는 공다팩(Gondad Exploit Kit)으로 확인 되었으며 최종 바이너리는 파밍 종류의 악성코드로 확인됐다.
 

파밍 악성코드에 감염되면 가짜 금융사이트 등으로 유도돼 개인정보, 금융 자산 등을 탈취당하는 피해를 입을 수 있다.

또한 빛스캔은 지난 2월 3주부터 시작된 신규 악성링크의 비정상적인 움직임은 2월 4주까지 주까지 이어지는 모습을 보였다고 발표했다.

특히, 쇼핑몰, 보안관련, 복지포탈, 파일공유(P2P) 등 영향력 있는 사이트를 통해 유포가 나타나면서 파급력이 크게 증가하는 모습을 보였다. 악성코드 분석결과 대부분 파밍 종류의 악성코드로 확인됏다.

파밍 악성코드 내부 리스트에는 지마켓이 포함된 데 이어 이번주에는 키움증권, 삼성증권, 대신증권, 동부증권, 미레에셋증권까지 확대하려는 사전 징후가 포착됐으며 악성코드 유포 당시 국내 백신만을 우회하고 있는 전형적인 모습도 확인됐다

또한, 시간이 지난 현재에도 대응되지 않은 부분도 일부 존재하고 있어서 2차적인 추가 피해가 우려 되는 상황이다.

빛스캔은 금주 증가된 증가된 위협과 영향력 있는 사이트를 통한 악성코드 유포와 함께 기존의 악성링크 재활용과 신규 악성링크를 비정상적인 움직임이 포착되어 인터넷 위협 수준을 2월 23 일부로 '경고' 단계로 단계로 상향 조정한다고 밝혔다.
 
한편 1월 3주차부터 2월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적
수는 한국이 180건(16.1%)으로 지난주와 소폭 증가했으며, 프랑스가 299건(26.7%), 미국이 241건(21.5%), 독일
이 160건(14.3%), 이탈리아가 72건(6.4%), 스페인이 32건(2.9%), 네덜란드가 26건(2.3%), 폴란드가 23건(2.1%), 영
국이 14건(1.3%), 덴마크가 12건(1.1%), 기타가 61건(5.5%)등으로 나타났다.