• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

멀웨어 공격자들, 다시 SEO 포이즈닝 공격으로 돌아서나 2021.10.29

각종 검색어를 사이트에 주입함으로써 검색 결과 창에 의도적인 변화를 주어 피해자들을 속이는 공격 기법이 다시 공격자들 사이에서 탐구되는 듯한 모습이다. 아주 최근에만 두 가지 멀웨어가 이런 식으로 유포되고 있는 것이 발견됐다.
 
[보안뉴스 문가용 기자] 일부 랜섬웨어 공격자들 사이에서 SEO 포이즈닝 공격이 유행하기 시작했다는 경고가 나왔다. 보안 업체 멘로시큐리티(Menlo Security)는 최근에만 레빌(REvil)과 솔라마커(SolarMarker)라는 멀웨어 유포 캠페인이 이런 기법을 활용했다고 하며 주의할 것을 당부했다. 레빌은 랜섬웨어, 솔라마커는 백도어다.
 

[이미지 = utoimage]


SEO 포이즈닝(SEO poisoning)이란 검색 결과 창의 목록에 영향을 줘 공격자가 멀웨어를 호스팅한 사이트가 윗부분에 뜨도록 조작하는 것을 말한다. 해당 페이지를 검색 결과라고 믿고 클릭해 들어가면 멀웨어에 감염된다. 주로 정상적인 웹사이트를 침해한 공격자들이, 해당 사이트에 페이지를 하나 개설해 멀웨어를 호스팅한 후 주요 검색 키워드를 그 사이트와 페이지 적용시키는 식으로 전개된다.
 
솔라마커 캠페인의 경우 악성 PDF 파일이 호스팅 된 웹 페이지가 공격에 활용됐다. 이 페이지(사이트)에는 약 2000개의 검색어가 주입됐다. 멘로가 찾아낸 사례는 blue-jacket-of-the-quarter-write-up-examples, industrial-hygiene-walk-through-survey-checklist, Sports Mental Toughness Questionnaire 등이었다. 자동차, 도소매, 금융, 제조, 운송, 통신사의 개개인들이 이 공격에 당했다.
 
솔라마커 캠페인에 악용된 웹사이트들은 세계 곳곳에서 발견되고 있다. 미국, 이란, 터키의 사이트들이 특히 많은 것으로 알려져 있다. 멘로의 보안 연구 국장인 비나이 피다탈라(Vinay Pidathala)는 “특정 산업에 소속된 사람들이 찾아볼 만한 검색어를 주입하는 것으로 보인다”며 “특정 인물이나 조직을 노리는 캠페인은 아니지만 특정 산업군에 관심을 두고 진행한 캠페인은 맞다”고 분석한다.
 
피다탈라는 SEO 포이즈닝 공격에 대해서 “멀웨어를 유포하고 사용자들을 악성 사이트로 유도하기에 적합한 전략”이라고 설명한다. 실제 멘로가 찾아내 분석한 레빌 캠페인과 솔라마커 캠페인 모두 꽤나 높은 성공률을 선보이기도 했다. “이메일로 들어온 악성 링크보다 검색 엔진이 결과창에 띄운 링크가 훨씬 신뢰도가 높죠. 그것이 SEO 포이즈닝 공격의 핵심입니다.”
 
공격 성공률이 얼마기에 ‘높다’고 하는 걸까? 멘로 측에서 분석한 바에 따르면 “공격자들이 주입한 문장이나 단어를 검색해 본 사람들 중 42%가 악성 링크를 클릭했다”고 한다. SEO 포이즈닝 공격의 효율성은 예전부터 잘 알려져 있었다고 피다탈라는 설명을 추가했다.
 
또 하나 특이한 건 솔라마커 캠페인에서 발견된 침해 사이트 모두 워드프레스를 기반으로 하고 있었다는 점이다. “그냥 워드프레스 사이트들도 아니었어요 전부다 포미다블 폼즈(Formidable Forms)라는 플러그인이 설치되어 있었죠. 하지만 해당 플러그인과 솔라마커 캠페인 사이의 직접적인 관계는 아직 뚜렷하게 드러나지 않았습니다. 포미다블 폼즈가 침해된 것인지, 공격자들이 그 플러인을 피해자가 설치하도록 유도한 것인지는 더 조사해봐야 합니다.”
 
이번 사건의 핵심은 공격 표적이 기업과 기관에서 다시 개인으로 바뀌었다는 점이라고 멘로 측은 지적한다. 그러나 조직보다 개인을 공격하는 게 커다란 트렌드로서 형성되는 건 아니고, 원격 근무자들이 많아지다 보니 개인을 침해하려는 시도가 다시 슬금슬금 시작되는 것 같다고 멘로는 분석하고 있다. 결국 궁극적인 목적이 기업과 기관이라는 점은 변하지 않았을 가능성이 높다는 뜻이다.
 
한편 레빌 랜섬웨어가 연루된 SEO 포이즈닝 공격에 대해서는 멘로 측이 상세히 공개하지 않고 있다.
 
3줄 요약
1. SEO 포이즈닝 공격, 원래부터 성공률 높은 공격 전략.
2. 최근 랜섬웨어와 백도어 공격자들 사이에서 다시 활용되기 시작.
3. 악명 높은 레빌과 솔라마커 백도어가 이런 식으로 퍼지며 40% 넘는 공격 성공률을 선보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>