> 커뮤니티 >보안뉴스
 
군 관련 홈피 4곳 타깃 공격?...동일 악성링크 포착
이름 : 관리자 작성일: 2015-04-15   조회수 : 2453
대한민국공군전우회 등 군 관련 4개 사이트, 동일 악성링크 발견
개인정보 과다수집, 주민번호 불법수집 등 개보법 위반도 ‘수두룩’




[보안뉴스 김경애] 한국방위산업학회, 대한민국공군전우회, 공군사관학교총동창회, 공군인터넷전우회 사이트 등 군·방위 관련 사이트에 동일한 악성링크가 발견된 정황이 포착됐다.





▲ 본지가 10일 입수한 악성링크 삽입 사이트들 캡쳐화면. 왼쪽 위부터 시계방향으로
한국방위산업학회, 대한민국공군전우회, 공군인터넷전우회, 공군사관학교총동창회




이들 4개 사이트는 지난 10일 악성링크가 삽입됐으며, 해당 사이트들은 악성코드 경유지 또는 유포지로 악용됐을 가능성이 높다.




4개 사이트에서 동일한 악성링크 발견

이 가운데 한국방위산업학회는 우리나라 국방 및 방산 분야에 관심 있는 개인, 법인, 기관을 대상으로 회원을 모집하고 있다. 학회 임원진은 70여명에 이르며, 3년 전에는 중부지회를, 지난해에는 남부지회를 추가로 창립하는 등 전국 규모의 학회로, 방산 분야 인적 네트워크 구축을 목표로 하고 있는 것으로 알려졌다.




대한민국공군전우회는 국가 안보활동에 기여하기 위해 조직된 공군예비역의 구심점 역할을 수행하는 단체로, 회원은 공군에서 전역한 前 장교, 부사관, 병 및 군무원, 보충역, 제2군민역으로 복무한자를 대상으로 하고 있다.




또한, 공군사관학교총동창회는 해당사관학교 출신들이 주축이 되어 회원 상호간의 친목을 도모하고, 모교와 공군의 발전에 기여하기 위해 조직된 단체다.




마지막으로 공군인터넷전우회 로카피스(ROKAFIS)는 공군과 전우회 발전을 위한 단체로, 총회원수는 16,254명이며, 사이트 방문객은 14일 기준 총 7,994,036명에 달한다.




앞서 설명한 4개 사이트에서 모두 동일한 악성링크가 발견됐으며, 미국 IP로 추정되는 주소로 알려졌다.

이와 관련 한 보안전문가는 “IP 주소는 미국으로, 현재는 공격자가 링크에 걸려 있는 도메인 서비스를 끊은 상태지만, 공격하기 위해 링크만 삽입해놨을 가능성이 있다”며 “악성링크가 삽입된 것은 웹 취약점이 있는 것으로 취약점을 찾아 제거해야 한다”고 당부했다.

또한, 그는 연결되는 링크는 나중에 공격자가 악성코드를 삽입하면 즉시 동작이 가능하고, 다른 URL로 변조할 수도 있는 등 때가 되면 공격자가 다시 공격을 시작할 수도 있다며 공격 재발 가능성을 우려했다.




하우리 최상명 CERT 실장은 “해당 사이트는 경유지나 유포지로 갈 수 있는 악성링크가 걸린 것으로, 연결된 IP가 중간 경유지나 최종 유포지가 될 수도 있다”며 “해당 IP에 연결이 안 되서 다행히 추가적인 악성행위는 할 수 없는 상태다. 하지만 군에서 전역한 예비역들이 주로 방문하는 사이트에 경유지 역할을 하는 악성코드가 삽입됐기 때문에 취약점 점검을 통해 보안조치를 취해야 한다”고 당부했다.





▲구글에서 공군사관학교 총동창회 사이트와 로카피스 사이트 검색시 결과 화면


또한, 공군사관학교 총동창회 사이트와 공군인터넷전우회 로카피스 사이트의 경우에는 구글 검색에서도 해당 사이트는 컴퓨터에 문제를 야기할 수 있다는 메시지가 뜨고 있다.



따라서 해당 취약점을 찾아 완전히 조치하지 않았다면 언제든지 해커가 악성링크를 걸 수 있다며, 해당 악성링크가 살아있으면 결국 악성코드 유포로 이어질 수 있다는 지적이다.





또 다른 보안전문가도 “아이프레임(iframe)으로 연결되는 주소로 크롬이나 파이어폭스에서는 해당 주소를 차단하고 있어 일단 크롬과 파이어폭스 운영체제 사용자들은 접속이 되지 않을 것 같다”며 “이는 파이어폭스와 크롬이 구글 악성코드 정보를 사용하고 있기 때문으로, 해당 주소로 접속하려고 해도 웹브라우저에서 악성코드가 배포된 사이트임을 알고 차단하는 것”이라고 밝혔다.



이전에도 악성코드 발견, 사이트 관리

출처 : http://www.boannews.com/media/view.asp?idx=45945