제주항공 유휴 도메인 'www.jejuair.co.kr' 통해 랜섬웨어 유포

저비용항공사(LCC) 제주항공이 확보해놓은 유휴 도메인 'www.jejuair.co.kr'이 한국어 윈도만 골라서 감염시키는 '매그니베르' 랜섬웨어 숙주로 활용되고 있는 것으로 확인됐다.

23일 보안업계에 따르면 제주항공 'www.jejuair.co.kr' 도메인에 접속한 PC는 '매그니베르' 랜섬웨어에 감염된다. 해커가 이 도메인으로 접속한 PC는 감염되도록 랜섬웨어를 심어둔 것이다.

현재 제주항공은 'www.jejuair.net' 도메인을 공식 웹사이트로 사용하고 있다. 'www.jejuair.co.kr'은 제주항공이 과거 공식 홈페이지로 사용하기 위해 확보해둔 도메인으로, 웹사이트로 구축된 적은 없다.

문제는 'www.jejuair.co.kr'을 제주항공의 공식 홈페이지인줄 알고 인터넷주소를 직접 입력해 접속한 이용자들이 랜섬웨어 감염 피해를 보고 있다는 점이다. 특히 해커는 한국인터넷진흥원(KISA)과 보안업계가 랜섬웨어 유포자를 찾기 어렵도록, 시간별 설정을 통해 악성코드를 유포하고 있다. 예를 들어 오전 8시~10시 사이에 접속한 이용자에게만 랜섬웨어가 유포되는 식이다. 오후 4시에 접속하면 랜섬웨어 유포 정황을 확인할 수가 없다.

최상명 하우리 기술연구소 실장은 "랜섬웨어를 유포하는 www.jejuair.co.kr은 제주항공이 사용하지 않더라도 보유하고 있는 도메인이므로 필요한 보안조치를 취해야 한다"면서 "관련 피해상황도 조사해야 할 것"이라고 했다.

한국인터넷진흥원(KISA)은 이날 오전부터 제주항공에 랜섬웨어 유포 사실을 통보하고 피해현황 파악에 나섰다. KISA 관계자는 "피해상황 및 구체적인 유포정황을 조사하는 중"이라고 설명했다.

제주항공은 이날 KISA로부터 랜섬웨어 유포 소식을 접하고 오후 1시부터 해당 도메인이 검색되지 않도록 접속을 막아놓은 상태다. 제주항공 관계자는 "제주항공이 보유하고 있는 도메인은 맞지만 사용하지 않는다"면서 "도메인 등록업체를 통해 오늘 오후 1시부터 검색되지 않도록 조치했다"고 말했다.