최근 국내 유명 동영상 재생 플레이어 공식 블로그에 접속할 경우 어도비 플래시 플레이어(Adobe Flash Player) 취약점을 이용, 악성코드 유포를 목적으로 한 악성 스크립트가 지속적으로 삽입되는 공격이 확인되고 있어 이용자들의 각별한 주의가 요구된다.
 
보안블로그 ‘울지않는 벌새’ 측에 따르면, 해당 공격은 2015년 12월 19일과 21일에 확인되었으며, 최초 확인은 바이러스 제로 시즌 2 보안 카페의 철이님이 Kaspersky 보안 제품이 해당 블로그에 접속하는 과정에서 HEUR:Exploit.SWF.Agent.gen 진단이 이루어지고 있다는 정보를 제공하면서 인지하게 되었다.
 
하지만 기술적 문제로 인해 당시에는 바이러스 제로 시즌 2 보안 카페의 골프라이온님이 추가적인 조사를 통해 블로그 페이지가 해킹되어 악성 스크립트가 추가되어 있었음을 확인해 주었다.
 
이후 기회를 보던 중 오늘(21일) 또 다시 악성 스크립트가 노출되고 있는 부분을 확인하였으며, 해당 스크립트는 Angler Exploit Kit을 통해 반복적으로 동일 IP에서 노출되지 않도록 유포가 이루어지고 있음을 밝힌다고 설명했다.

 
이어 해당 블로그 페이지에서는 워드프레스(WordPress) 또는 아파치(Apache) 취약점을 이용하여 </body> 태그 상단에 악성 스크립트가 삽입된 것으로 추정되며 특징적인 부분은 id="EITest" 값을 포함하고 있다는 점이다.
 
오늘 확인된 유포 URL 주소는 무료 도메인(.tk / .ml)을 이용한 것으로 보이며, 러시아(Russia)에 위치한 "31.184.192.202" IP 주소로 확인되고 있다고 덧붙였다.
 
Malwarebytes 보안 업체 분석에 따르면 금융 정보 탈취 목적의 Tinba가 유포된 적이 있었으며, 최근 이슈가 되는 랜섬웨어(Ransomware)도 충분히 유포 가능할 것으로 추정된다.
 
울지않는 벌새 측은 “유명 사이트 접속시에도 불특정한 시간대에는 악성 스크립트가 추가되어 1회에 한해 악성코드 감염에 노출될 수 있으므로 항상 어도비 플래시 플레이어 최신 버전을 사용해야 하며 그 외에도 웹 브라우저를 비롯한 각종 응용 프로그램의 보안 패치를 최신으로 적용해야 한다”고 강조했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com