야후 서버 해킹 피해가 생각보다 큰 것으로 드러났다. 야후가 확인한 시점보다 훨씬 앞서 공격이 이뤄지고 있었으며, 이미 200만대 PC가 피해를 입은 것으로 드러났기 때문이다.
11일(현지시간) 씨넷은 야후 광고서버를 악성코드 유포 경로로 악용한 공격이 200만대 이상 PC를 감염시켰으며, 일부 사용자 정보가 유출됐다고 보도했다.
야후는 이어 공격은 실제 확인된 것보다 4일 앞서 시작됐으며 유럽 외곽 지역 일부 사용자들까지 광범위하게 피해를 입힌 것으로 추정된다고 말했다.
야후는 앞서 2012년 12월31일~2014년 1월3일 사이에 공격이 발생했다고 말했으나 그 뒤에는 12월27일~1월3일 사이에 발생했다고 설명했다.
야후 헬프 사이트에 게재된 공지에 따르면 대량 악성 광고가 유럽 사이트에서 발견됐으며, 이 지역 외 사람들도 일부 피해를 입은 것으로 보인다.
야후는 웹사이트 방문자들과 야후 메일, 인스턴트메신저(IM) 등 역시 야후 광고 네트워크를 통해 악성코드를 배달하는 역할을 수행한 것으로 보인다고 말했다.
사용자 방문 페이지 혹은 서비스는 악성 광고가 저장돼 있는 서버로 연결된 뒤 자바 등에서 발견된 보안취약점을 악용해 여러 악성코드를 설치한다.
네덜란드 보안회사 서프라이트는 200만대 이상 감염된 PC에서 쓰인 악성코드는 사용자 이름, 비밀번호 등 개인정보를 훔치는 것과 함께 백신 회피, 원격접속허용 등 기능을 가진 것으로 분석했다.
미국 보안회사 라이트 사이버는 해당 악성프로그램들 중 하나는 중국 상하이에서 비트코인 채굴 프로그램을 돌리기 위해 악용된 것으로 확인했다고 밝혔다.
서라이트는 지난 5일 모든 야후 광고 네트워크가 악성 아이프레임(iframe)을 담고 있는 것은 아니지만 구 버전 자바 런타임을 쓰는 동안 야후 메일을 6일 이상 사용했다면 감염됐을 가능성이 크다고 말했다.
관련기사
- 야후 서버 해킹 수천명에 악성코드 유포2014.01.12
- 유튜브, 구글대신 야후에 팔렸다면 무슨일이…2014.01.12
- 삼성 타이젠, 뜨려면 IBM과 야후 배워라2014.01.12
- 야후, 이번엔 CDN 업체 피어CDN 인수2014.01.12
앞서 네덜란드 보안회사 폭스-IT는 블로그에 따르면 야후 광고서버에 접속하게 되면 아이프레임을 통해 해당 페이지에 광고가 표시된다. 광고 정보를 불러오는 HTTP 주소 중 일부가 악성코드를 유포하는 통로로 악용됐다.
현재 애플 맥이나 모바일 기기 등은 피해를 입지 않은 것으로 나타났다. 야후는 해킹된 계정을 사용 정지 시키고, 법적 조사를 벌이고 있는 중이다.
