모두투어는 지난달 15일에도 악성코드를 유포한 것으로 확인돼 본지에서 보도한 바 있다(3월 18일자 참조).
보안전문회사 빛스캔은 4일 모두투어 홈페이지가 악성코드에 감염돼 제휴관계에 있는 CJ몰, 현대몰, 롯데아이몰, 신세계몰, HNS몰, 11번가 등 대형 쇼핑몰에도 악성코드를 유포하고 있다고 밝혔다.
빛스캔측은 "지난달 15일에도 모두투어의 악성코드 유포에 대해 언론 등을 통해 알렸지만 제대로 조치가 되지 않은 것 같다"며 "2일 자정 무렵, 국내 대형 쇼핑몰과 제휴를 맺은 여행전문 사이트인 모두투어를 통해 악성코드가 또 다시 유포되는 모습이 포착됐다"고 설명했다. 또한 모두투어가 여행정보와 함께 예약 등 방대한 정보를 제공하고 영향력 있는 웹 사이트기 때문에 많은 사용자가 악성코드에 노출됐을 가능성이 높았을 것으로 보인다고 추정했다.
빛스캔에 따르면 모두투어를 통해 유포된 악성코드는 2일 23시에 발견됐다. 특히 공격자는 악성코드 위치가 공용모듈에 삽입돼 있어서 유포기간 어느 페이지를 접속해도 악성코드에 노출이 되도록 했으며 이 기간 방문한 많은 사용자가 감염이 됐을 가능성이 높다는 분석이다.
모두투어 최초 악성코드 발견은 2일 오후 2시경이며 악성코드 유포지는 'xxxxxx.co.kr/xxxxx/pop/index.html', 악성코드 최종파일은 'xx.xxx.xxx.xx:xxx/smss.exe'이다.
또 모두투어에 의해 감염된 대형 쇼핑몰은 6곳으로 이들은 2일 23시경 감염이 나타났다.
오승택 빛스캔 과장은 "공격 이용된 자동화 도구는 카이홍(Caihong Exploit Kit)으로 카이홍은 최근 공다팩과 같이 국내에서 사용비율이 증가되고 있는 추세이며 8개의 취약점을 가지고 있는 것으로 확인됐다"고 말했다. 그는 "특히, 카이홍은 난독화 부분에서는 공다팩과 다른 기법을 사용하여 패턴 탐지가 쉽지 않게 되어있기 때문에 차단되는 비율도 적은 편"이라고 전했다.
오 과장은 "카이홍 공격킷을 통해 다운로드된 바이너리는 파밍 악성코드를 포함하고 있었으며 그 외에 C&C 연결이 활발히 이루어지는 것을 보았을 때 파밍 이외에 사용할 수 있는 여지가 충분히 있는 위험한 상태"라고 덧붙였다.
문제는 악성링크가 삽입돼 사용자가 방문 시 악성코드에 감염될 가능성이 있는 사이트를 차단하는 서비스인 구글의 스탑배드웨어도 이번 모두투어 악성코드 유포를 탐지하지 못했다는 점이다. 이런 경우 사용자가 크롬 브라우저를 쓰더라도 악성코드에 감염될 가능성이 높을 수 밖에 없다.
오 과장은 "방문자가 특히 많은 사이트들을 대상으로 악성코드 유포지와 경유지로 활용되었으며 특히, 주말뿐만 아니라 평일에도 활발한 활동을 하는 모습이 관찰되고 있어 사용자들은 최신 패치를 업그레이드하는 등 인터넷 사용에 더욱 주의해야한다"고 당부했다.