KISA, 은닉 사이트 통한 관련사고 “목적성 있다” 분석

최근 일어난 대규모 은닉 사이트를 통한 ARP Spoofing 사고와 관련, 국내에서 발생한 웹사이트 공격의 대부분이 주요 개인정보의 대규모 유출이라는 뚜렷한 목적성을 가지고 있는 공격자에 의해 이뤄지고 있음을 확인할 수 있는 사례라는 지적이 나왔다.

한국정보보호진흥원(원장 황중연 www.kisa.or.kr)은 7일 발간한 ‘인터넷침해사고 동향 및 분석월보’를 통해 이렇게 밝히면서 인터넷 이용자들의 주의를 환기시켰다.

KISA는 이어 “이번 사고는 공격자가 악성코드를 유포하기 위해 공격한 피해 웹사이트에 최초 접근한 공격기법이 SQL-Injection 공격으로 확인됐다”며 전했다.

그리고 나서 “이는 아직도 다수의 국내 웹사이트가 웹 개발자의 보안에 대한 인식 결여로 인해 여전히 SQL-Injection 공격에 매우 취약한 상태로 방치 운영되고 있음을 재차 확인시켜준 것”이라면서 이 부분에 대한 대응이 절실함을 우회적으로 강조했다.

이 자료에서 KISA는 이번 사고의 특성과 관련, “유포된 악성코드가 ARP Spoofing을 유발하는 악성코드를 포함하고 있어 감염된 PC 주변을 함께 감염시켰다. 이로 인해서 순식간에 800개가 넘는 웹사이트와 3만개가 넘는 PC가 피해를 입었다”며 “그 방식도 복합적으로 이뤄지고 있다”고 분석했다.

아울러 “해커의 공격 대상이 불특정다수를 상대로 해 최단시간에 최대 규모의 개인정보를 획득하는 것을 목적으로 확장되고 있다는 것도 확인됐다”고 설명하기도 했다.

그러면서 “이번 사고에 대한 대응과 피해 시스템 분석을 통해 악성코드의 유포나 DDoS Agent의 생성, 개인정보의 유출 등 일반 PC를 대상으로 하는 공격의 시작은 항상 취약한 웹사이트에 대한 공격으로부터 시작된다는 사실을 재차 확인하게 됐다”며 웹사이트 보안의 강화를 촉구했다.

국외 해커로 추정되는 공격자들은 최근 국내의 시스템을 해킹해 악성코드 유포지 5개와 경유지 약 1100여개를 구축한 다음 특정행위를 수행하는 악성코드를 퍼뜨려 약 3만여대의 국내 컴퓨터를 감염시킨 바 있다.

KISA의 인터넷침해사고대응지원센터는 지난 6월15일 악성코드 은닉사이트 자동탐지시스템인 MC-Finder에 의해 탐지된 악성코드 경유지 사이트를 통해 관련된 ARP Spoofing 사고를 최초로 발견한 뒤 해당 웹사이트에 대한 현장 분석 및 대응조치를 취한 바 있다.

[최한성 기자(boan1@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>