"KT 스마트폰 보험상품 사이트서 악성코드 발견"

KT의 휴대전화 보험상품 웹사이트에서 대규모 악성코드 공격이 일어난 것으로 나타났다.

국내 보안업체 빛스캔은 "지난 16일 올레폰 안심플랜 온라인 보상센터 웹사이트에서 모든 접속자에게 공격을 가한 악성링크가 발견됐다"고 밝혔다.

'올레폰 안심플랜'은 KT 휴대전화 분실·도난·파손 시 기기변경이나 수리비 일정액을 지원해주는 보험상품으로 KT가 보험사 현대해상, 동부화재, 삼성화재와 제휴를 맺고 제공하는 부가서비스다.

빛스캔에 따르면 해당 악성링크는 보상센터 웹사이트 내부에 몰래 숨어 다단계 통로를 이용해 공격코드가 삽입된 유포지로 연결하는 기능을 하고 있었다.

발견된 공격코드는 Caihong EK(변종), Sweet Orange Kit(변종)으로 둘 다 멀티 스테이지(Multi-Stage) 형태였다.

멀티스테이지는 사용되는 공격킷의 형태와 취약점, 악성링크가 각각 다른 형태를 보이게 돼 초기에 대처하지 못하면 방어하기 어려운 기법인 것으로 전해졌다.

실제로 해당 악성파일은 국내 다수 백신업체의 탐지를 피했던 것으로 나타났다.

빛스캔은 바이러스 전문사이트인 '바이러스토탈'의 분석결과를 인용해 안랩과 엔프로텍트(nProtect), 알약 등은 전날 발생한 공격을 감지하지 못했다고 밝혔다.

실제 피해가 발생했는지는 파악되지 않았지만 이 악성파일은 공인인증서를 가로채거나 접속자의 웹페이지를 파밍사이트로 연결하는 기능을 갖고 있었다.

빛스캔은 "더욱 우려스러운 것은 공격자가 해당 웹페이지에 대한 권한을 갖고 있었다는 점"이라면서 "사이트 권한을 가지고 있다는 것은 공격자가 데이터베이스와 같이 민감한 개인정보에 접근할 가능성이 있다는 것을 의미한다"고 말했다.

올레폰 안심플랜 온라인 보상센터는 휴대폰 보험을 온라인으로 신청받는 곳이기 때문에 해당 악성코드가 고객의 폰번호 등을 유출해 언제든 스미싱이나 스팸메일 발송 도구로 악용할 수 있다는 빛스캔의 설명이다.

이에 대해 KT 관계자는 "전날 악성코드 공격 징후가 포착돼 사이트를 관리하는 위탁업체가 곧바로 보안 업데이트를 실시해 정상화시켰고 현재 원인을 분석 중"이라면서 "다행히 악성코드 공격과 관련한 고객 문의나 피해 신고가 접수된 것은 없다"고 말했다.

(연합뉴스)