아주경제 장윤정 기자 = 최근 조현아 부사장의 땅콩 회항과 관련해 이슈로 떠오로고 있는 대한항공이 홈페이지에서 악성코드를 유포한 정황이 나타나 또 한번 논란을 예고하고 있다.

부사장의 월권 행위에 대한 비난에 이어 홈페이지 관리 소흘에 따른 사용자 악성코드 감염으로 대한항공 서비스는 다시한번 도마위에 오르게 됐다.

대한항공 홈페이지에서 발견된 악성코드의 경우 직접 공격자가 웹 서버 메인에 악성파일을 올린 것으로 나타나 서버에 대한 전 권한을 보유한 것으로 추정, 추가적인 침입이나 대한항공 서버에 대한 데이터 유출 가능성도 높은 상태다. 

특히 일반적인 이벤트 홈페이지 서버의 경우 본사 홈페이지와 분리, 운영되는 경우도 많지만 이번 대한항공 이벤트 페이지는 본 서버와 연결돼 있는 것으로 나타나 본사 서버의 데이터 탈취 가능성도 점쳐지고 있다. 

국내 보안업체 빛스캔(대표 문일준)은 지난 9일 오후 파밍 악성코드가 대한항공의 하위 웹서비스 '내가그린예쁜비행기(myplane.koreanair.com)' 캠페인 사이트에 올려져서 방문자를 감염시키고 있는 상황을 탐지했다고 밝혔다.

악성코드 감염 사실이 알려지자 이 사이트는 현재 접속이 불가능한 상태다. 

이 회사의 분석에 따르면 해당 사이트에 올려진 악성파일의 경우 웹서버 메인에 직접 올려진 상태라, 공격자가 모든 권한을 가지고 있는 것으로 판단된다. 더불어 로그인의 경우 대한항공의 SSO(싱글사인온)를 사용하고 있어 추가적인 침입이나 정보의 획득 가능성도 이미 높은 상태에 있을 것으로 예상된다.

즉 일반적인 이벤트 사이트의 경우 본사 서버와 분리, 운영되지만 이번에 발견된 이벤트 사이트의 경우 로그온하면 대한항공 홈페지로 바로 연결돼  대한항공 홈페이지의 감염이나 데이터 유출도 우려된다. 

악성코드가 발견된 '내가그린예쁜비행기' 캠페인은 2009년도부터 시작된 것으로 알려져 있으며, 대한항공이 주최하고 있는 어린이 그림대회다. 올해도 새롭게 사이트가 리뉴얼되었기 때문에 올해 또한 행사가 진행될 것으로 보인다.

빛스캔에 따르면 9일 오후 2시경 대한항공이 주최하는 '내가그린예쁜비행기'  웹사이트에 악성코드 파일이 업로드돼 감염에 이용된 정황이 확인됐다. 악성코드를 직접적으로 유포하는데 이용된 악성링크는 67.xxx.xxx.45:xxx/index.html이며, 최초에는 포모X 웹사이트에서 삽입된 것으로 이 회사는 분석했다. 

또 악성 파일을 분석해 본 결과, 금융 정보를 빼내는 파밍 공격을 이용하는 것으로 파악됐다. 이를 통해 감염된 사용자들은 파밍사이트로 유인된다. 

악성코드에 감염되어 나타나는 파밍 사이트의 경우 기존의 은행 사이트를 모방한 사이트가 아닌 'e-금융보안센터'를 모방한 것으로 정보를 입력하는 부분만 공격자가 만든 프레임을 쓰도록 구성됐다. 다른 메뉴등은 모두 정상적인 사이트의 콘텐츠를 호출하고 있어 실제 'e-금융보안센터'와 구별이 어렵다.

빛스캔측은 "정보 입력 부분만 가짜로 위장할 정도로 교묘한 형태의 파밍이 계속 출현하고 있어 앞으로도 파밍 피해는 계속될 것으로 예상된다"고 설명했다. 

한편 발견된 악성 파일을 웹 기반 무료 바이러스 점검 사이트 사이트 '바이러스토탈(VirusTotal)'에 조회해본 결과, 전혀 탐지하지 못하는 것으로 나타났다. 따라서 공격자들은 백신이 탐지하지 못하도록 미리 대비한 것으로 추정된다. 

빛스캔 관계자는 "해당 사이트에서 발견한 악성코드를 해외 백신은 약 2시간 후 탐지하는 것을 발견했으나 국내 백신은 전혀 탐지하지 못했다"며 "물론, 바이러스토탈에 제공되는 엔진에 반영이 늦을 수 있겠지만, 해외 백신에서 반영되는 만큼 국내 백신업체들의 발빠른 대응이 요구된다"고 밝혔다.