'온투데이ㆍ쿠폰브리지' 소셜 쇼핑몰, 주말을 틈타 악성코드 유포에 활용

아주경제 장윤정 기자 = 지난주부터 오픈마켓 배송페이지를 포함한 다양한 직종의 사이트가 악성 링크의 유포지로 나타나고 있는 가운데 3월 1주차에는 소셜쇼핑몰인 '온투데이'를 통해 악성 링크가 유포되는 정황이 포착됐다.

오픈마켓과 달리 소셜 쇼핑몰은 공동구매 방식으로 이루어지기 때문에 특정 이벤트기간이나 주말기간동안에 방문자가 일시적으로 몰리는 현상이 발생한다.

공격자는 이를 이용, 주말기간에 걸쳐 소셜 쇼핑몰을 악성코드를 유포지로 활동한 것으로 추정된다. 

보안전문회사 빛스캔은 3월 2일부터 3월 5일까지온투데이 관련 페이지에서 악성코드를 유포하는데 활용되는 악성링크가 삽입돼 있는 것을 확인했으며, 3월 5일 오후까지도 간헐적으로 악성 링크가 유포되고 있는 상황이라고 7일 밝혔다.

빛스캔측은 "최근 등장한 악성코드 유포 이슈는 대부분 메인 웹서비스에 연관된 파일을 변경하는 형식으로 발생 되고 있다"며 "온투데이는 3월 2일부터 5일까지 약 3회에 걸쳐 악성링크를 유포한 이력이 확인됐다. 그 중에는 다단계유포망(MalwareNet)의 성격을 가진 악성링크도 한차례 삽입됐다"고 설명했다. 
 

온투데이에 삽입된 악성 링크 –3월 5일 확인

공격에는 공다팩(Gondad Pack)과 카이홍(Caihong) 공격도구가 사용된 것으로 확인됐으며 공다팩은 9개의 취약점을 카이홍은 8개의취약점을 가지고있어서 보안에 완벽하지 않은 사용자라면 감염될수밖에 없는 상황이다.

추가적으로 악성코드 확인 결과 금융정보를 타겟으로 한 바이너파밍 악성코드로 확인됐다.

참고로, 소셜 쇼핑몰인 쿠폰브리지(Coupon Bridge)에서도 3월 2일에 악성코드 유포에 활용됐다. 다만, 웹사이트에 포함된 파일에 악성링크를 삽입하는 방식이 아닌, 광고 페이지를 활용하였다는 점이 색다르다. 있다. 특히, 광고페이지 같은 경우는 어느 사이트를 방문해도 나오는 화면이기 때문에 더 큰 문제가 될 수 밖에 없다.

오승택 빛스캔 과장은 "최근 악성코드가 많이 뿌려지고, 확산되는 원인은 취약한 웹 서비스이며, 접점이 이루어 지는 부분이다"며 "탐지를 회피하기 위해 공격자들은 수시로 악성링크를 변경하고 있고, 웹 서비스통해서 감염 확률을 높이고자 계속 뿌려지고 있기 때문에, 대응은 느리고 효과는 즉시 발생하는 구조로 바뀐 지 오래"라고 전했다.

또 그는 "따라서, 웹사이트 내의 컨텐츠에서 악성 링크와 같이 비상적인 URL을 통해서 삽입되는 악성링크를 탐지할 수 있는 체계를 통해 서비스를 이용하는 사용자들을 보호할 수 있도록 고려 되어야 할 것"이라고 설명했다.