중견 포털인 코리아닷컴 웹사이트(www.korea.com)가 해킹돼 이를 통해 악성코드가 유포되는 사건이 발생했다.
8일 대성그룹 코리아닷컴 웹사이트(www.korea.com)가 해킹을 당해 방문자들을 상대로 악성코드가 유포돼다 정오인12시쯤 긴급 복구됐다.
이번에 유포된 악성코드는 국내 온라인게임 이용자들의 개인정보를 탈취해가는 트로이목마.
최신 보안패치를 받지않은 이용자들이 코리아닷컴 웹사이트를 방문하면, 악성코드가 숨겨진 또다른 국내 웹서버에 접속해 이용자 PC에 해당 악성코드가 설치되는 구조다.
현재는 긴급 복구돼 정상 가동 중이지만, 이날 오전 코리아닷컴 웹사이트를 방문한 사용자 중 만약 최신 보안패치가 제대로 설치되지 않은 이용자들은 최신 백신 엔진등을 통해 자신의 PC를 철저히 점검하는 것이 안전하다.
코리아닷컴 관계자는 "확인한 결과, 코리아닷컴 자체 서버가 아닌 외부 협력사 서버가 해킹을 당한 뒤 그곳에 악성코드 숙주서버와 연결되는 코드를 숨겨놓은 것"이라며 "앞으로 외부 콘텐츠들도 자체적인 필터링을 통해 악성코드와 연결돼있는지 철저히 검증하겠다"고 밝혔다.
한편, 이번에 악용된 악성코드 숙주서버는 서울 강남 도곡동 일대의 웹서버인 것으로 확인됐으며, 악성코드(520.exe)를 숨겨놓는데 네이버(naver)라는 디렉토리명을 사용했다는 점이 특이하다. 이는 웹서버 관리자가 쉽게 악성코드를 찾아낼 수 없도록 하기 위해 사용된 것으로 보인다.
한 보안 전문가는 "웹사이트 해킹을 통한 악성코드가 갈수록 기승을 부리고 있으며, 일반인들이 자주찾는 대형사이트들도 예외가 아니다"라며 "무엇보다 이용자 PC 운영체제(OS)를 언제나 최신 상태로 보안패치를 해주는 것이 안전하다"고 당부했다.