본문 바로가기

Security Indicator/Insight

2012년 티켓몬스터 악성코드 유포-탐지내역

 

  • 본 게시물은 2012년 12월 24일에 작성된 빛스캔의 기사 제공 내용입니다. 2011년 유출된 정보를 통해 이전의 회원들에게만 공지를 하는 상황에서 공지 범위를 2012년 12월 22일 이전의 모든 가입자들에게 공지를 할 필요성이 있지 않을까요? 당시 여러 매체에 내용을 제공 하였으나 기사화 된 곳은 없었네요. 아마 받으신 기자분들은 기억 하실 것입니다. 

  • 유출된 정보를 통해 확인되는 것이 가장 확실하나, 악성코드 감염에 직접 이용된 정황 만으로도 내부 정보의 유출 가능성은 충분히 높은 것이죠. 권한이 있는데 들고 가는 것은 그냥 선택사항일 뿐!!! 이외에도 지금까지 악성코드 유포 및 감염에 이용된 수없이 많은 서비스들도 모두 정보 유출은 기본적으로 이루어졌을 것으로 판단 합니다. 공격자의 마지막 활용이 좀비 PC 감염을 위한 매개체로 사용하는 것이니 말입니다. 정체가 노출 되는 것을 감내할 정도로 용도폐기 단계란 것이죠.


 

티켓몬스터 해킹 당해… 악성코드 대규모 유포!

방문자중 60%는 악성코드에 감염

 

티켓몬스터는 국내 소셜커머스 업계의 양대산맥중의 하나입니다. 정상가의 절반 밖에 되지 않는 파격적인 가격에 수량은 한정되어 있다 보니 대규모 방문자가 일상적으로 방문을 하는 곳입니다. 대규모 방문자가 상시 방문하는 티켓몬스터에서 악성코드를 유포한 정황이 포착 되었습니다.

 

티켓몬스터는 지난 7월 1주차에도 악성코드를 유포한 정황이 포착된 바가 있으며, 이번 12월 3주차(12.22)에도 악성코드를 유포한 정황이 다시 포착되었습니다. 웹서비스의 소스를 변경한다는 것은 서버의 모든 권한을 공격자가 가지고 있다는 것과 동일한 이야기 입니다. 7월에 이어 12월에도 악성코드 유포가 되었다는 것은 그만큼 해킹 사고 이후 충분한 원인 파악과 대책, 꾸준한 관리가 미비하여 발생 하는 것으로 판단 됩니다. 권한을 모두 가지고 소스를 변경하는 공격자들인데 과연 웹서비스의 고객정보는 안전할까요? 악성코드를 유포한다는 것은 이미 서버의 권한을 획득하고 DB의 내용을 모두 유출한 후일 확률이 매우 높습니다. 공격자들은 이미 탈취할 수 있는 서버의 모든 정보를 탈취한 이후, 최종적으로 모든 방문자들에게 악성코드 감염을 시도 하기 위해 웹소스코드를 추가 또는 변경하여 악성링크가 모든 방문자에게 자동으로 실행 하여 감염 되도록 합니다.

 

<7월 1주차 티켓몬스터 악성코드 유포 정황 포착>

 

<12월 22일 오후 9시경 티켓몬스터 악성코드 유포 정황 포착>

 

2012년 2월의 빛스캔의 조사에 따르면 악성링크로 인한 감염 피해는 전체 웹서비스 방문자중 60%가 감염 된다는 것을 데이터를 통해 입증 한 바가 있습니다. 이번 티켓몬스터의 경우에도 방문자중의 60%는 악성코드에 감염이 되었을 것으로 추정됩니다. 애플리케이션(자바, IE, 플래쉬)중 하나라도 최신으로 업데이트가 되어 있지 않다면 감염이 되는 현재의 상황 입니다. 공격자들은 항상 최대의 효과를 얻기 위해 방문자들이 많은 곳들을 대상으로 해 끊임없이 악성코드 감염을 시도합니다. 그 대상에는 수많은 사이트들이 대상이 되고 있으며 웹서비스 방문자들은 그 어떤 인지도 없이 감염이 될 수밖에 없는 상황이 계속되고 있습니다.

 

<12월 22일 티켓몬스터 정상 소스 안에 삽입된 악성링크 한 줄>

처음 사용자가 접속 시에 실행되는 소스코드에서 발견된 악성링크 추가 부분 입니다. 방문자에게 실행 되는 상태에서 브라우저에 있는 소스보기를 통해 확인된 내용입니다. 본 링크의 경우 티켓몬스터에 접속 하기만 하여도 자동으로 실행되는 부분입니다. 즉 사용자의 클릭 없이 단지 방문만 하여도 악성링크는 자동으로 실행 되며 사용자 PC를 좀비PC로 만들고 있습니다. 공격자가 언제든 조종할 수 있는 좀비 PC가 된 방문자 PC는 두 가지로 악용될 수 있습니다. 좀비PC에서 입력되는 모든 개인정보를 탈취하는 것과 대량의 좀비 PC를 이용한 DDoS 공격등에 이용 될 수 있습니다.

 

< 티켓몬스터 웹소스에 추가된 악성링크의 구조>

이용된 취약성은 Java 취약성인 5종류와 MS XML 취약성이 이용되었으며 사용자의 브라우저 버전과 취약한 Application 버전에 따라 실행하는 지능적인 구조로 구성 되어 있다. 취약성 공격 이후 설치되는 악성파일은 전세계에서 가장 많은 샘플을 보유하고 전 세계 백신 46종에서의 탐지 여부를 체크하고 있는 VirusTotal 사이트에 조차 보고된적 없는 악성코드가 사용자 PC에 설치 되고 있었다. 결론적으로 백신에서 악성파일이라고 탐지 할 수 있는 가능성이 매우 낮음을 의미한다.

< 최종 악성파일의 Virusl Total 탐지 내역 – 미 보고된 악성파일>

 

티켓몬스터에서 유포된 악성코드는 추가 파일을 다운로드하는 다운로더 역할을 하는 것으로 1차 판단이 되고 있습니다. 다운로더는 새로운 악성코드들을 계속해서 설치하고 언제든 목적에 맞는 악성코드 및 명령을 내릴 수 있는 상태가 됨을 의미합니다. 현재 티켓몬스터내의 악성링크는 제거된 상황이지만 근본 원인을 찾아서 제거하지 않는다면 언제든지 재발 할 수 있는 상황이므로 근본적인 노력과 대처가 필요합니다.

 

쇼핑이 일상화 되어 있고 더군다나 소셜 쇼핑의 활용률은 접속자도 많으며 이용률도 높은 상태라 공격자들의 좋은 대상이 되고 있습니다. 모든 방문자를 대상으로 한 현재의 공격을 막기 위해서는 서비스 담당자의 지속적인 노력과 보안적인 기술 수준을 항상 높은 상태로 유지 하여야만 할 것입니다. 또한 방문자 관점에서는 현재 공격이 보안패치가 잘 이루어지지 않는 Java 취약성으로 집중이 되고 있으므로 java 취약성에 대한 보안 취약성 업데이트를 반드시 하여 피해를 최소화 하여야 할 것입니다.

 

방문자가 많은 거대 사이트들 조차도 악성코드 감염을 위한 숙주로 이용되는 지금의 현실에서 안전한 사이트라는 것은 많지 않으며, 사용자의 꾸준한 관심과 서비스 운영 기업의 보안강화 노력만이 피해를 줄일 수 있을 것입니다.

 

빛스캔은 현재 국내 주요 120만개 웹 서비스와 해외 10만여 개의 웹서비스에 대해 악성코드 대량 유포 모니터링을 하고 있으며 지난 대선 기간에도 총 60여종의 악성코드와 40여개의 의심 IP에 대해 국내 주요 기업/기관에 정보 제공을 함으로써 문제의 사전 발생을 줄이도록 기여한 바 있습니다.