UPDATED. 2019-12-15 22:20 (일)
"국가기관 사이트 악성링크 삽입 방치"...과천시의회 카운터링크 공격
"국가기관 사이트 악성링크 삽입 방치"...과천시의회 카운터링크 공격
  • 심재형
  • 승인 2015.03.06 18:06
  • 댓글 0
이 기사를 공유합니다

한국 웹을 통한 위협은 2015년에도 진행 중에 있으며, 공격자는 일반 사이트뿐만 아니라 국가에서 운영하는 도메인까지 다양한 통로를 통해서 방문하는 사용자에게 악성코드를 감염시키기 위해서 이용하고 있다. 그 중 최상위 관리가 이루어져야 하는 국가기관(go.kr) 사이트는 주요 자산과 정책정보 및 시험 등 높은 가치의 정보가 있음에도 악성링크가 삽입되어 있는 사이트가 여러 곳에 존재하고 있다.

예를 들면 과천시의회의 사이트에서는 2014년 12월 5일에 발견된 악성링크가 2015년 3월 4일인 현재까지 약 3개월간 방치되고 있다. 빛스캔에 따르면 더욱 우려되는 것은 비정상적으로 삽입되어 있는 위치에 공격자가 접속 통계를 알 수 있는 카운터링크가 포함되어 있다는 것이다. 카운터링크는 공격자가 심어둔 통계 목적의 링크로, 공격자는 실시간으로 해당 사이트의 방문자 수 등을 일목요연하게 파악할 수 있으며, 게다가, 짧은 시간이 아닌 3개월이라는 긴 시간을 통해서 공격자가 관찰한 상황이라면 해당 사이트에 대한 충분한 파악은 이미 완료되었다고 볼 수 있다.

▲ 악성코드에 감염된 과천시의회 홈페이지

또한 공격자들은 카운터 링크를 통해 현재의 상황(웹사이트의 접속자, 국가, 운영체제 등등)을 실시간으로 파악하고 있으며, 어느 시점에 공격을 시작(악성 링크 삽입)해야 할지 또는 중지해야 할지를 결정하기 위해 이러한 통계 정보를 활용하고 있으며, 대부분의 발견되는 악성링크에서 발견되고 있는 일반화된 상황이다.

 

go.kr의 카운터링크가 삽입되어 있는 사이트가 과천시의회뿐만 아니라 현재까지도 여러 개의 사이트에서 존재하고 있다는 것이며, 일부는 위의 사례와 같이 악성링크의 삽입이 되었음에도 불구하고 방치해놓고 있는 곳도 있다. 이는 언제든지 공격자가 공격 통로로 활용 할 수 있는 잠재적인 위협 요소이기 때문에 심각하다고 볼 수 있다.

매년 공격자는 도메인에 관계 없이 악성코드 공격에 이용될 수 있는 사이트는 가리지 않고 활용하고 있기 때문에 국가기관의 사이트라고 해도 취약한 곳이 있다면 언제든지 이용당할 가능성이 매우 높은 상태다. 이를 대비하기 위해 언제든지 공격의 통로로 사용될 수 있는 잠재적인 위협 요소를 확인하여 빠른 수정을 통해 대비해야 한다.

[오피니언 리더가 만드는 심층뉴스 '데일리썬'] [IT보고서 총집합 '마이닝독']