빛스캔은 최근 크고 작은 의료 관련 사이트에서 악성코드가 계속 유포되고 있다고 금일(29일) 밝혔다.

최근 의료 관련 사이트에서 지속적으로 진행 중인 악성 코드 유포 방법은 APT(Advanced Persistent Threat) 공격으로, 이 공격은 기존의 공격들은 알려지지 않은 악성코드를 이용해서 공격을 시도하기 때문에 공격 성공률이 매우 높고, 기존 솔루션에 의해서 차단될 가능성이 낮기 때문에 그 만큼 치명적이라고 할 수 있다.

APT공격은 초기에는 일부 공공기관, 금융기관, 사회기반시설 등 국가의 중요시설과 경제적인 타격을 입히기 위한 전략으로 사용되어왔으며, 지난 해부터는 일반 기업과 의료 등을 특정 타겟으로 하는 악성코드의 유포가 웹사이트를 통해 빈번하게 발생하여 피해를 주었다.

특히 의료분야를 타겟으로 한 악성코드의 유포는 지난 해 8월 공격자 서버를 통해서 따로 관리하고 있는 것이 확인됐으며, 올해까지도 크고 작은 의료관련 사이트에서 악성코드가 계속 유포되고 있는 심각한 상황이다.

공격자가 의료정보에 접근 할 수 있게 된 가장 큰 이유로는 의료 분야 사용자들이 많이 찾는 의료 관련 사이트에 악성링크를 삽입하여 사용자가 방문만 해도 악성코드를 자동으로 다운로드 할 수 있도록 유도하기 때문이다.

만약 취약한 사용자가 사이트에 방문하여 PC에 악성코드가 감염되게 되면 해당 악성코드는 공격자와의 연결을 시도하고, 공격자는 감염된 PC를 마음대로 조정할 수 있게 되는 좀비PC가 되며, 이로 인해 사용자의 PC의 중요한 자료 및 개인정보를 탈취당할 수 있는 가능성이 존재한다.

더욱 우려되는 사항은 앞서 언급하였듯이 올해에도 지난 해와 같이 비슷한 모습의 위협이 탐지되고 있다는 것이다. 악성코드의 유포지/경유지에 이용된 의료관련 사이트를 살펴보면 대형 병원부터 소규모 병원과 의료관련 커뮤니티까지 다양한 부분에 걸쳐서 유포가 발생되었다. 대형병원과 같은 경우 보안인력이 있기 때문에 문제를 수정하는 등 신속한 대응이 가능하였지만, 소규모 병원 같은 경우는 짧게는 1주일에서 길게는 1달까지 심지어 현재까지도 이용되는 모습을 보이는 곳도 있으며 최근에는 의료뉴스 사이트인 약사공론 홈페이지에서 악성링크가 삽입되어 있는 정황을 발견하였다.

약사공론은 대한약사회에서 제공하는 사이트로 랭키닷컴에서 의료관련 사이트 랭킹이 상위권에 있을 만큼 인지도가 매우 높은 사이트이며, 의료에 관련되어 있는 정보를 제공하고 있다. 의료 정보에 관심 있는 일반 사용자뿐만 아니라 의료분야 종사자가 유입되는 비율이 높을 수 밖에 없다.

약사공론에서 삽입되어 연결되는 악성링크는 총 2번에 걸쳐서 공격도구가 교체되었으며, 첫 번째는 기존에 국내에서 활발히 활동중인 카이홍이 사용되었고, 두번째는 지난 9월에 국내에 첫 유입이 확인되었던 스윗오렌지킷으로 확인되었다.

이 둘이 이용하는 취약점과 연결하는 방식은 다르지만 한가지 공통된 점은 모두 최근에 성행하고 있는 금융정보 탈취 악성코드를 최종으로 다운로드와 함께 감염된 사용자를 관리할 수 있는 프로그램을 공격자 서버 내부에서 직접 감시하고 있다는 점이다. 최근 웹을 통한 악성코드 유포를 통해 공인인증서 유출이 많이 발생하고 있으며, 의료 종사자 PC가 감염된다면 의료 관련 공인인증서 유출과 같은 피해가 발생할 가능성도 있다.