더존비즈아카데미 수강 방문자, 악성코드도 함께 수강(?)

이미지 확대

더존비즈아카데미 웹 사이트 내에 악성링크 유포 정황 포착

아주경제 장윤정 기자 = 회계전문 교육센터 ‘더존비즈아카데미(www.duzonbiz.co.kr)’ 웹 사이트에서 악성코드가 유포된 것으로 밝혀졌다. 

악성코드는 지난 14일 23시경 뿌려졌다. 

더존비즈아카데미는 회계전문 교육센터로 방문자 대부분이 수강생이나 재무 관련된 직원일 가능성이 높아, 기업 내부의 정보 유출 등 추가적인 피해가 발생할 가능도 우려되고 있어 더욱 주의가 시급하다.

나아가 웹서비스에 대한 권한을 가진 상태로도 볼 수 있으므로 내부 정보 유출 가능성도 있을 것으로 보여 이 사이트를 방문한 사용자라면 PC에 대한 정밀 검사를 진행해보는 것이 좋다.

보안전문회사 빛스캔은 14일 23시경 더존비즈아카데미 웹 사이트에서 악성코드가 유포된 정황이 포착됐다고 17일 밝혔다. 

빛스캔은 사용자가 자바, 인터넷 익스플로러, 어도비 플래시 등에 대한 최신 보안 패치를 하지 않았던 경우에는 악성코드에 감염된다고 경고했다.

또 다운로드되는 악성코드를 분석한 결과 금융 정보 탈취 목적으로 널리 사용되는 파밍 코드로 확인됐다.

특히 공격자는 사용자 PC에 대한 권한을 가지게 되므로, 마음만 먹는다면 분산서비스거부(DDoS)와 같이 다른 공격으로 전환도 가능하다.

이 회사의 분석에 따르면 더존비즈아카데미는 지난 2011년 10월 18일, 최초 악성링크가 발견됐다. 그 이후 2013년 2월13일까지 11차례 악성링크가 삽입돼 방문자에게 감염시키는 매개체 역할을 수행한 것으로 파악된다.

특히, MBN(매일방송)웹사이트의 www.mbn.co.kr/xxxxx/xxxxxxx/xxxxxxx.xxx페이지 내에 더존비스카데미 URL이 삽입되는 바람에 악성코드를 유포하는 통로뿐만 아니라 직접적으로 악성코드를 다운로드하게 하는데 사용되었다는데 문제의 심각성이 크다.

오승택 빛스캔 과장은 "웹사이트를 통한 악성코드 감염의 주요 원인은 보안이 취약한 웹사이트에 있다"며 "공격자는 이러한 웹사이트를 공격해 권한을 장악한 다음, 웹사이트 내에 악성링크 한 줄로 인해 대량으로 감염될 수 있도록 이용하고 있는 실정"이라고 밝혔다.

또 그는 "공격자는 사용자가 알 수 없도록 드라이브바이다운로드(Drive-by-download) 공격을 사용하기 때문에,사용자 입장에서는 웹사이트를 방문하는 동안에 자신도 모르게 악성코드에 감염되게 되며, 공격자의 의도대로 개인정보, 금융정보를 탈취할 수 있는 파밍 사이트로 이어지는 것"이라고 덧붙였다. 

오 과장은 "악성파일이 내려오는 근본적인 원인이 되는 곳이 어디인지 찾아내어 가장 상단을 막아버리면, 대량 유포되는 것도 막을 수 있다"며 "줄기가 아닌 뿌리를 막는 방안에 대해 고민해야 할 것"이라고 강조했다.