닥터아파트, 2011년부터 악성코드 경유지로 악용돼

아주경제 장윤정 기자 = 3월 봄 이사철을 맞아 네티즌들의 부동산 중개 사이트 방문이 늘어나고 있다.

늘어난 부동산  중개 사이트 방문을 노린 악성코드 유포 또한 덩달아 늘고 있어 이에 대한 대비책이 시급하다.

보안전문회사 빛스캔은 부동산 중개 사이트 '닥터아파트'가 지난 2011년부터 지속적으로 악성코드 유포에 활용되고 있다고 7일 밝혔다.  이사철을 앞두고 좀더 저렴하고, 위치와 편의시설이 좋은 곳을 찾기 위해서 많이 방문하는 대표적인 부동산 사이트인 닥터아파트가 공격자의 표적이 된 정황이 빛스캔 PCDS(Pre-Crime Detect Satellite)에 포착됐다.

방문자수가 많은 닥터아파트는 대규모 부동산 중개 사이트로 다양한 방문자들이 주택의 시세와 매물을 확인하기 위해 수시로 방문하는 웹 서비스다. 
 

2014년 02월 26일 닥터 아파트 악성코드 유포

빛스캔측은 "이 사이트는 2012년에도 악성코드 감염을 위한 경유지로 여러 차례 활용이 되어 기사화를 통해 주의를 환기한 적이 있으나 최근 2013년 5월 9일에도 또 다시 악성코드 경유지로 활용됐다"고 밝혔다. 

오승택 빛스캔 과장은 "최근의 공격동향은 방문자가 많은 사이트들을 대상으로 자바, IE, 플래시 취약성 9종을 이용하는 공격을 통해 좀비 PC를 대량으로 확보하는 방식이 일반적으로 사용이 되고 있다"며 "즉 공격자는 최초 닥터아파트 서비스에 대한 공격을 통해 권한을 획득하고 웹소스의 소스코드를 변경, 악의적인 공격이 실행되도록 구성한다. 악성링크의 추가를 통해서 이제 웹서비스를 방문하는 모든 방문자들의 PC에서는 자동으로 악성링크가 실행되고, 공격이 이루어지고 결국 좀비 PC로 전락하게 되는 것"이라고 설명했다.

특히 닥터아파트 사이트의 경우 2011년 7월부터 현재까지 약 50여 차례 이상 악성코드를 유포한 정황으로 미루어 보아 웹사이트의 보안이 허술하다고 추정할 수 있다.

오 과장은 "지속적으로 언론 등을 통해 닥터아파트의 악성코드 유포 문제제기를 하였음에도 불구하고 악성코드 유포에 계속 이용되는 사례는 근본적인 침입의 원인을 완벽하게 제거하지 못한 상태가 계속 되고 있음을 의미한다"며 "2012년, 2013년, 2014년에도 PCDS 상에 다수의 악성코드 유포 기록이 있다"고 덧붙였다.

닥터아파트를 통해 최종 설치되는 악성코드는 트로이목마, 백도어, 파밍 등 세 종류였다.

닥터아파트를 통해 유포된 대표적인 악성링크들

그 중에서 자바 취약성을 이용해 설치되는 공격코드의 경우 바이러스토탈을 통한 VT 진단 결과들은 특정 백신들의 기능 문제가 아니며, 악성코드 자체가 국내를 대상으로 한 공격 및 정보탈취용이다 즉 국내 사용 비율이 높은 제품들 만을 탐지를 회피하는 유형이라고 풀이된다. 

빛스캔은 웹에 의한 공격을 차단하기 위해서는 조기에 탐지하고 대응 하는 역할이 매우 중요하다고 강조했다.