한류 이용한 파밍 기능 악성코드 유포 정황 포착!

웹 취약점 진단으로 소스코드 수정·웹방화벽 도입해야

[보안뉴스 김태형] 본지는 지난 2월 15일자 ‘한류 이용한 악성코드 유포, 이제 일본도 타깃!’이라는 기사를 통해서 일본에서도 악성코드가 대량으로 유포되는 정황을 알렸다. 이는 빛스캔의 악성코드 유포탐지 시스템 ‘PCDS(Pre Crime Detect Satellite)’를 통해 포착됐다.

그런데 3월 9일 18시경 ‘cnblue.jp’ 사이트에 또 다시 악성링크를 삽입한 정황이 탐지됐으며, 해당 링크에서 내려오는 악성파일은 자바(6종)+IE(1종)+Flash(1종)등 8가지 취약점 CVE-3544-0507-1723-4681-5076-1889-0442-0634)을 사용하는 것으로 분석됐다.

특히, 최종 악성파일의 기능은 ‘파밍’이었으며, C&C와 연결되어 추가적으로 4가지 악성파일이 발견된 것으로 나타났다.

빛스캔 측은 지난 2월 5일 처음 ‘cnblue.jp’ 웹 사이트 내에 비정상 링크가 PCDS에 의해 탐지됐고 당시 악성코드를 유포하거나 중계지로 활용되지는 않았지만, 공격자가 로그를 분석할 수 있는 링크를 삽입한 것으로 보아 공격대상 웹사이트의 방문자 유형을 분석하는 등의 사전준비 단계로 파악했다는 설명이다.  

그 이후 2월 8일과 11일에도 악성링크 및 공격코드가 삽입된 정황이 포착됐으며, 악성링크(비정상링크) 내에 공격코드에서 내려오는 악성파일은 ‘파밍’ 기능을 하는 것으로 분석됐다는 것이다.  

이를 통해 공격자의 전략에 따라 악성파일은 얼마든지 기능을 바꿀 수 있다는 것을 알 수 있으며, 근본적인 원인은 취약한 웹 서비스에서의 악성링크(비정상링크) 한 줄에서 발생된다는 사실을 알 수 있다.  

빛스캔측은 “PCDS의 추적결과 ‘cnblue.jp’ 일본 사이트에는 악성링크 및 공격코드는 삭제된 상태이지만 최초 cnblue.jp 웹 사이트에 비정상 링크로 삽입되어 있었던 카운터링크는 유지되고 있으며, 이는 언제든지 공격자에 의해서 악성링크 및 공격코드가 삽입될 수 있다는 의미”라고 설명했다.

    
     ▲ 현재까지도 카운터링크가 살아 있는 cnblue.jp 웹 서비스

해당 카운터링크의 기능은 방문자가 얼마나 많이 증가했는지를 나타내는 통계 사이트로 연결된다. 공격자는 이 통계사이트에서 수치를 보고 악성링크의 삽입시기를 판단한 후, 공격코드를 삽입시켜 사용자가 가장 몰릴 때 밀어넣는 방법을 취하는 경우가 많다.  

즉, 공격대상 웹사이트의 방문자 유형을 분석하거나 하는 등의 사전준비를 통해 비용대비 효과를 높이기 위한 공격자의 전략이라는 것.

공격자의 전략인 카운터링크 및 비정상링크를 계속해서 PCDS에서 추적한 결과 2013년 3월 9일 18시경 ‘cnblue.jp’ 사이트에 또 다시 악성링크를 삽입한 정황이 탐지됐다.      

해당 링크에서 내려오는 악성파일은 자바(6종)+IE(1종)+Flash(1종)등 8가지 취약점 (CVE-3544-0507-1723-4681-5076-1889-0442-0634)을 사용하는 것으로 분석됐으며, 최종 악성파일의 기능은 ‘파밍’이었다.

공격자는 얼마든지 다른 기능의 악성파일을 유포할 수 있음에도 불구하고, 일본 웹 서비스에서도 한국에서 이슈가 되고 있는 ‘파밍’ 기능의 악성파일이 대량으로 유포되는 것일까?

먼저 한국 내에서도 ‘파밍’이 이슈가 되고 있다. 해당 악성파일에 감염되면, 방문자 PC 모든 권한은 공격자에게 넘어간다. 또한, 해당 악성파일은 ‘파밍’의 기능을 포함하고 있어 정상적인 금융권 웹사이트를 방문했음에도 불구하고 가짜 사이트로 이동을 시킨다. 사용자 PC의 권한이 이미 넘어갔기 때문에 공격자가 만들어 놓은 가짜 금융권 웹 사이트로 이동되어 금융정보를 탈취하게 만든다.

그리고 감염 확률을 높이기 가장 쉬운 공격방법이 웹 서비스에 방문하는 사용자들을 대량으로 감염시키는 것이다. 감염되면 사용자 PC의 권한을 획득할 것이고 그 다음은 공격자가 원하는 대로 2차, 3차 공격이 가능하기 때문이다.

빛스캔 관계자는 “국내에서는 금융뿐만 아니라 다양한 서비스를 이용하기 위해서는 공인인증서라는 독특한 체계를 이용해야 한다. 최근에는 게임사이트의 결제까지 공인인증서를 사용하도록 강제하려는 움직임도 보이고 있다”면서 “일본의 경우에는 공인인증서가 없기 때문에 SSL과 같은 기본적인 웹 보안 통신기술과 OTP와 같은 부가적인 보안기술을 함께 혼용하여 사용하고 있다”고 설명했다.

덧붙여 그는 “사용자의 PC를 공격자가 모니터링하고 있다면 일본에서도 금융거래에 있어 안전한 곳이라고 여길 수 없게 되며, 국내에서의 수익 모델이 없어진다면 그 여파는 국내가 아닌 가까운 일본으로 이동할 가능성도 예상된다”고 강조했다.

문일준 빛스캔 대표는 “결론적으로 악성코드 유포가 발생한 웹 서비스에 대한 보안 감사를 철저히 해서 재발을 막아야 하며, 이를 위해서는 웹 취약점 진단을 통한 소스코드 수정이나 웹방화벽의 도입이 필수”라면서 “관련기관 및 보안업계의 공동 협력을 통해 악성코드 유포행위 자체를 빠르게 탐지, 차단함으로써 위험이 널리 퍼지지 않도록 선제적 대응을 해야 한다”고 말했다.

한편, 빛스캔은 한 주간 국내·외 140만개 이상의 주요 웹 서비스를 관찰해 악성코드 유포를 탐지하는 PCDS(Pre Crime Detect Satellite) 체계에 의해 탐지된 내용을 매주 수요일에 브리핑, 동향분석, 기술분석 보고서를 발행하고 있다. 향후에도 국내 도메인에 악성파일을 올려두고 경유지로 직접 활용하는 경우에는 심각성을 제기하고 정보공유를 위해 공개한다는 방침이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>