대웅제약, 2012년부터 최근까지 악성코드 수차례 유포
2014-05-13 18:18
아주경제 장윤정 기자 = 대웅제약이 지난 2012년 6월부터 2013년 4월까지 지속적으로 악성코드 직간접적으로 유포한 것으로 확인됐다.
대웅제약 홈페이지가 직접 악성코드를 유포하기도 하고 대웅제약 인트라넷이 악성코드 다운로드 경로로 활용되는 등 다양한 방법으로 공격자에 의해 악용된 것으로 드러났다.
13일 국내 보안회사 빛스캔은 대웅제약이 국내외 웹사이트를 모니터링한 이래 악성코드 유포에 활용된 정황이 수십 여회 발생했다고 발표했다.
빛스캔은 지난 2012년 6월부터 2013년 4월까지 지속적으로 대웅제약이 지속적으로 악성코드를 직간접적으로 유포했으며 이는 해당 기간 동안 대웅제약 홈페이지를 방문한 사용자 가운데 보안 패치가 완벽하지 않은 사용자들은 악성코드에 감염될 가능성이 매우 높다는 것을 의미한다고 설명했다. (도메인은 daewoong.co.kr)
빛스캔측은 "개인정보 유출이 이미 국내에서 4억건을 넘어선 가운데, 사이버 범죄자들의 차세대 먹거리로는 의료정보를 주목하고 있다"며 "예로 들면, 지난 2013년 8월달에 발견된 국내 모대학병원의 내부PC에서는 CT 또는 MRI 사진으로 추정되는 개인의료정보가 외부에 유출된 사례를 기사화한 적이 있다. 이러한 정황을 토대로 살펴 볼 때, 공격자들은 의료기관이나 관련된 기업 등에 대한 공격이 지속적으로 증가될 것으로 예상된다"고 밝혔다.
즉, 기존에는 보안이 취약한 웹사이트를 대상으로 악성코드를 감염시킬 수 있게 해주는 중간 매개체 역할이었지만, 최근에는 해당 조직의 내부 정보 탈취를 위한 교두보로 사용하거나, 다른 웹사이트를 통해 악성파일을 다운로드하게 하는 등의 탐지를 우회하기 위한 보다 고난이도의 공격 기술을 사용하는 추세다.
대웅제약 사례에서 더욱더 중요한 문제는 공격자는 해당 서버를 단순히 악성코드 유포에만 활용하는 것이 아니라는 점이다.
조직에서 운영하는 대부분의 웹서버는 방화벽 내의 DMZ 영역에 위치하고 있다.
여기에는 웹서버 등 외부 또는 내부와 함께 사용하는 서비스들이 운영되는 서버가 다수 있게 되며, 공격자는 웹서버의 권한을 장악한 이후에는 내부 침입을 위한 교두보로 활용하는 경우가 대부분이다. DMZ 내의 다른 서버뿐만 아니라 내부로 특정 IP/Port만을 개방하여 DB 서버에 연결하게 하는 경우에도 웹서버를 통해 손쉽게 DB 서버에 접근할 수 있고, 그러한 방식을 통해 내부의 정보를 모두 빼내가는 전략을 이용한다.
물론, 내부 서버로의 접근제어가 완벽하거나 DB와 연결되지 않았다면 단순히 웹서버를 통해 악성코드 유포에 활용된 것으로 추정할 수 있다.
빛스캔측은 "더욱 심각한 문제는 해당 사이트는 대웅제약 임직원에 한하여 사용할 수 있다는 표시가 있는 것으로 보아, 인트라넷 등 내부 정보에 접근이 가능할 것으로 추정된다"며 "웹서버에 특정 파일을 업로드할 수 있다는 의미는 앞에서 언급한 바와 같이 공격자는 해당 서버에 대한 권한을 장악한 상태이기 때문에 공격자가 마음만 먹는다면, 이 서버를 통해 내부로 접근할 수 있고, 만약 DB 서버등이 연동되어 있다면(인트라넷에 DB 서버가 연동되지 않는 경우는 없다) 그 DB의 유출 가능성도 있을 수 있다"고 강조했다.
게다가, 대웅제약 외에도 11개의 다른 조직의 인트라넷으로도 함께 사용하고 있는 것으로 보아 해당 서버의 악성코드 유포는 단순하게 치부될 일이 아니라, 내부에 있는 모든 웹서버 등 서버 및 DB까지 보안 점검을 해야 할정도도 심각한 수준으로 볼 수 있다. 물론, 이 웹서버에 접근하는 임직원의 PC 등에 대한 부분도 간과해서는 안 된다.
대웅제약의 메인 웹서비스는 아니지만 인트라넷으로 사용된 Heart.daewoong.co.kr 사이트 접근 시에는 이미 최근 악성코드 유포 이력이 있어서 경고를 하는 것도 확인 할 수 있다.
이 회사는 "이에 따라 대웅제약의 악성코드 유포는 명백하다"며 "악성코드 유포에 대한 사실은 빛스캔 이외에도 구글에서도 확인이 된 사안"이라고 설명했다.