소니 비디오게임기 '플레이스테이션2'를 국내 판매하는 소니컴퓨터엔터테인먼트코리아(SCEK)의 웹사이트가 중국발 해킹을 당해 악성코드가 유포되는 사건이 발생했다.
더욱이 이곳을 통해 유포되는 악성코드는 지난달 29일 첫 발견된 MS 윈도 ANI파일 취약점을 악용한 제로데이 공격코드라는 점에서 적잖은 피해상황이 우려된다.
소니가 운영하는 플레이스테이션코리아(http://www.playstation.co.kr)가 지난 3일부터 중국발 해킹을 당해 이곳을 통해 악성코드가 유포되다가 4일 오후 2시쯤 긴급조치됐다.
이곳을 통해 유포된 악성코드는 최근에 보고된 MS 윈도 ANI파일 취약점을 악용한 공격코드다. 네티즌이 해당 웹사이트를 방문하게 되면 이곳과 자동 연결(링크)돼 있는 특정 중국 웹사이트(http://www.XX96.com)에 숨겨진 공격코드가 이용자 PC에 자동으로 깔리게된다.
이 공격코드가 이용자 PC에서 실행되면서 또다른 웹사이트에 접속돼 국내 온라인 게임계정을 탈취해가는 트로이목마를 다운받는다. 이 경우, 이용자가 특정 온라인 게임사이트 접속시 아이디와 비밀번호를 입력하는 순간 이 정보가 해커의 메일로 자동 전송된다.
이 과정은 일반 이용자라면 전혀 눈치챌 수 없다. 경로는 복잡하지만 플레이스테이션코리아 웹사이트에 접속했던 것만으로 자신의 PC가 정보유출용 악성코드에 감염됐을 가능성이 높다는 얘기다.
특히, 이곳을 통해 유포된 공격코드는 오늘 새벽에서야 긴급 업데이트된 'ANI파일 취약점'을 악용한 것으로, 접속 당시 최신 백신엔진으로 업데이트되지 않았거나 백신이 아예 없었던 이용자들이 속수무책으로 당했을 가능성이 매우 높다.
이에 따라 2,3일 전부터 4일 오전까지 정품등록이나 온라인 이벤트에 응모하기 위해 해당 사이트를 방문했던 네티즌이라면 반드시 최신 백신엔진으로 점검해야한다.
이번 공격에서 공격자는 이용자들의 감염률을 높이기 위해 숙주서버에 지난해 4월 패치된 MS 보안 취약점(MS06-0141) 코드도 동시에 숨겨놓는 한편, 사이트 관리자가 쉽게 해킹사실을 알 수 없도록 그림파일로 위장한 뒤 다중으로 암호화하는 치밀함을 보였다.
한편, 마이크로소프트는 이날 새벽 3시 ANI파일 취약점에 대한 긴급 패치를 내놨다.
한 보안 전문가는 "현재 게임사이트들을 중심으로 ANI파일 취약점을 악용한 공격코드를 유포하기 위한 해킹이 기승을 부리고 있는 상황"이라며 "자신의 정보유출 피해를 방지하기 위해서는 무엇보다 보안패치를 신속히 받아야하며, 최신백신엔진으로 실시간 감시해야한다"고 경고했다.
[용어]제로데이 공격
제로데이 공격이란 새로운 중대한 시스템 취약점을 이용해 해당 보안패치가 발표되거나 보급되기 이전에 공격을 감행하는 해킹 수법으로, 시스템업체가 해당 취약점을 내놓기 전에는 근본적인 방어책이 없다는 점에서 보안전문가들이 가장 우려하는 공격형태다. 이같은 신규 취약점을 악용한 악성코드가 제로데이 공격코드다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]