[IT조선 유진상] 한수원 해킹의 자료유출 원인과 규모 등이 파악되지 않고 있는 가운데, 지난 7월 한수원 내부직원을 위한 전용 웹사이트에서 악성코드 유포가 발생한 것으로 파악됐다. 이 악성코드에는 파밍과 공인인증서 탈취 기능이 탑재돼 있어 해킹 원인 중 하나일 것으로 추정된다.
정보보안업체 빛스캔은 29일 모두투어 여행사에서 한수원 내부직원을 위해 개설한 전용 웹사이트에서 악성코드 유포가 발생했다고 밝혔다. 빛스캔은 지난 7월 모두투어와 제휴된 대형 여행사이트들이 악성코드를 유포했다고 지적한 바 있다.
빛스캔은 한수원 임직원만 이용할 수 있도록 제작된 여행 웹사이트에 악성코드가 심어져 있었고, 보안에 취약한 사용자가 해당 사이트를 방문하면 악성코드의 감염확률이 높을 수 밖에 없다고 밝혔다.
공격코드를 분석한 결과, 자바(JAVA), 어도비 플래시(Adobe Flash), 윈도 등 모두 8개의 취약점을 노린 'Caihong Exploit Kit'이 활용됐다. 공격킷에 언급된 취약점 중 하나만 패치가 되지 않았더라도 바로 악성코드에 감염된다. 유포된 악성코드는 파밍과 공인인증서 탈취 기능을 기본으로 내장하고 있는 트로이목마로 확인됐다.
또한 내부에 있는 정보를 빼내갈 수 있도록 RAT(Remote Admin Tool)가 설치돼 있어 보안에 취약한 한수원 임직원이 해당 웹사이트를 방문했을 경우, 악성코드에 감염될 수 밖에 없다. 내부 임직원의 PC가 웹서핑을 통해 좀비 PC가 된다면, 내부침입을 위한 진입지점으로 직접 이용될 수 있어 악성코드는 내부망을 누비면서 자료를 유출하게 된다.
문일준 빛스캔 대표는 “현재까지 한수원 사태에서 확인된 것은 지난 9일 이후 이메일을 통한 감염과 그에 대한 분석이 대부분”이라며 “악성코드 감염을 위해서는 이메일 뿐 아니라 이용자가 주로 사용하고 있는 웹사이트를 통해서도 발생한다는 점에서 볼 때, 한수원 모두투어 사이트를 통한 악성코드 감염 가능성도 충분히 고려해 봐야 할 것”이라고 말했다.
유진상 기자 jinsang@chosunbiz.com