날씨예보 관련 웹서비스 및 씨엔블루 일본 공식 웹서비스에 발견! 

[보안뉴스 김태형] 최근 한류 바람이 불면서 공격자들은 한류 관련 도메인을 통해서도 악성코드를 유포하고 있다.

최근엔 국내 날씨예보 관련 웹 서비스에 JP도메인을 사용하는 악성링크가 추가됐으며, 아이돌 가수인 씨엔블루 그룹의 일본 공식 웹 서비스에서도 악성코드가 유포되고 경유지로도 활용된 정황이 포착됐다.

최근 악성코드를 유포하는 공격자들은 한류의 선봉을 맡고 있는 웹사이트도 비켜가지 않는다는 얘기다.  지난 2월 5일 16시경, 국내 날씨예보 관련 웹 서비스에 JP도메인을 사용하는 악성링크가 추가된 것이 빛스캔의 악성코드 유포탐지 시스템 ‘PCDS’에 탐지된 것.  

빛스캔 측은 “탐지 당시 악성코드를 유포하거나 중계지로 활용되지 않았지만 공격자가 로그를 분석할 수 있는 링크를 삽입한 것으로 보아 공격대상 웹사이트의 방문자 유형을 분석하는 등의 사전 준비로 파악된다”고 설명했다.

빛스캔은 이틀간의 관찰기간을 거쳐 2월 7일 오전 11시경에는 실제 공격을 수행하는 공격링크를 추가 확인했고 이 공격은 국내 날씨예보 관련 사이트에서도 발생했으며 일본 내에서도 이 서비스를 방문하는 모든 사용자들에게 공격이 발생했다고 밝혔다.

즉, 이 사이트는 악성코드의 유포지 외에도 경유지로도 활용된 상황이다(해당 서비스는 씨엔블루 그룹의 일본 공식 웹서비스인 cnblue.jp이다). 악성링크는 지난 2월 11일 다시 변경됐으며, 2월 12일까지 악성코드 유포가 계속 되고 있는 것으로 분석됐다.  

빛스캔 관계자는 “지난 2월 7일부터 2월 12일 오전까지 cnblue.jp 사이트를 접근한 사용자들 모두가 공격을 받았으며 Java와 IE가 업데이트 되지 않았다면 좀비 PC가 됐을 확률이 높다”며,  “국내 사이트 2곳 정도도 cnblue.jp에 올려진 악성링크의 영향을 받아 감염시켰기에 일부는 영향을 받았을 수 있다”라고 덧붙였다.

빛스캔에 따르면, 최종 악성파일을 분석한 결과 국내 은행 접속 시에 주소를 변환하는 파밍 역할을 하는 악성코드였으며, 원격에서도 통제가 가능해 추가적인 위협은 계속될 것으로 판단하고 있다. 또한, 일본 내에 유포된 악성코드는 APT 공격 등을 통한 추가 정보유출 우려도 높을 것으로 추정하고 있다.

국내 사이트를 공격해 웹 소스 상에 악성링크를 추가하고, 이 악성링크가 탐지되지 않도록 하기 위해 신뢰 받는 웹 서비스를 추가적으로 해킹해 악성링크 자체로 이용하는 방법은 탐지를 회피하기 위한 목적으로 지난해부터 자주 사용되고 있다.

빛스캔 관계자는 “국내 악성코드 감염 확산에 이용된 악성링크를 조사하는 과정에서 일본 내에서도 광범위한 공격이 발생됐거나 시작될 수 있는 징후를 발견했으며, 이미 시작됐을지도 모른다”고 말했다. 

이러한 사이트의 경우 언어의 특성상 한국 팬보다는 일본어를 사용하는 팬이 많이 접속하는 것으로 보이며, 이로 인해 많은 일본 이용자들이 지금도 악성코드에 감염되고 있을 것으로 추정된다. 

악성링크는 공식 홈페이지 소스코드에 악성링크를 추가하는 형식으로 실행되고 있는데, 이는 공격자가 서비스에 대한 모든 권한을 가진 상태와 동일하다고 할 수 있다.  

   

    ▲ 공격자가 인위적으로 소스를 추가해 모든 방문자들에게 실행 되도록 구성한 내용

빛스캔 측은 이러한 공격코드가 이용하는 기법은 현재로서는 한국에서 널리 이용되고 있는 최신 취약점(제로데이)과는 조금 다른 방식으로, JAVA 취약점 2가지와 MS XML 취약점 하나를 포함한 3종류의 취약점을 이용해 방문자 PC를 공격하는 것으로 확인됐다고 밝혔다. 공격코드 제작을 위해 사용된 공격자의 생성 도구는 ‘CK VIP Exploit kit’으로 분석됐다.  

     ▲ cnblue.jp 내의 악성링크의 내용 - 단 하나의 링크 추가로 직접 공격 발생

공격이 성공된 이후에 설치되는 최종 악성파일은 감염 이후 추가 공격파일을 미국의 캘리포니아에서 다운로드를 받아 설치하는 것으로 분석됐으며, 현재 전 세계 백신을 대상으로 테스트 할 수 있는 Virus Total에서 확인해본 결과 지금껏 보고되지 않은 악성파일로 알려졌다.  

▲ 최종 악성파일인 sms.exe 파일에 대한 VirusTotal 비교 결과-미 보고된 신종 악성파일

    ▲ 최종 악성파일이 방문자 PC 설치 이후 추가 공격 코드 다운로드 기록

공격이 성공된 이후 설치되는 악성파일은 공격자가 올려둔 또 다른 파일들을 다운로드 시도해 시스템에 설치하는 행위를 했고, 악성파일을 다운로드 받는 주소는 174.139.68.xx 이었다. 해당 IP는 미국 캘리포니아 오렌지 카운티에 위치한 것으로 확인되고 있다.

이렇듯 지난 2월 5일 처음 발견부터 2월 7일 실제 공격이 발생된 시점까지의 관찰기록을 보면 공격자들은 국제적인 네트워크를 자유자재로 활용하고 있음을 알 수 있다.

또한, 악성코드 감염을 위해 유명 웹서비스들을 이용하는 것을 확인할 수 있으며 지금껏 국내에서만 활발하게 발견되고, 해외에서는 드물게 발견되는 유형이었던 웹 서비스를 통한 대량 감염(Drive by Download)이 이제 일본에도 직접적으로 발생되고 있는 것이다.

일본 내에서도 Java와 MS 패치가 되지 않은 상태에서 해당 웹 서비스를 방문하게 되면 공격의 영향을 직접 받을 수 밖에 없고, 단순 방문만 해도 악성코드에 감염돼 추가로 미국에 위치한 악성코드에 이용자 모르게 감염될 수 있다.

이번 일본 내에 위치한 도메인을 이용한 악성링크 활용사례는 지금까지 한국에서 사용되는 공격방식과 유사한 상황을 보이고 있어 앞으로 최신 취약점(제로데이)를 활용해 모든 방문자 PC를 직접 공격할 가능성이 높은 상황이라는 게 빛스캔 측의 분석이다.  

빛스캔 관계자는 “국내도 마찬가지지만 일본 내에서의 좀비 PC 확산을 막기 위한 방안으로는 악성링크로 이용된 경로를 차단하고 추가 공격코드를 다운로드 받는 미국의 주소에 대해서도 차단을 병행해야 대응할 수 있다”면서 “근원적으로는 공격자가 자유자재로 통제하는 웹서비스의 보안성을 높여서 추가적인 악성코드 감염 시도가 발생 되지 않도록 해야 할 것”이라고 강조했다.

국가와 국가를 자유롭게 이동하며 공격을 하는 사이버범죄자들은 이제 공개적으로 일본 내에서의 좀비 PC 확대를 위한 대량 유포 매커니즘을 작동했다고 할 수 있다. 분명한 것은 일본의 IT 시스템도 대량 확산되는 악성코드의 습격으로부터 자유롭지 못하며, 이제 시작이라고 할 수 있다는 것.  

현재 빛스캔은 ‘PCDS(Pre Crime Detect Satellite)’를 운영, 국내 120만개의 웹 서비스와 해외 10만 여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 한편, 이번 이슈로 인해 일본 내의 악성코드 유포실태에 대한 모니터링을 강화하고 있다.

또한, KAIST 정보보호대학원과 공동으로 매주 수요일 한 주간의 국내 인터넷 보안위협 상황을 보고서 형태로 제공하고 있다. 관련 사항에 대한 세부적인 문의는 이메일(info@bitscan.co.kr)로 하면 된다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>