Drive By Download 기법 통한 사이버범죄형 악성파일과 크게 달라 

[보안뉴스 권 준] 지난 6.25 사이버테러 당시 신문사에서 공통적으로 사용하는 집배신 프로그램 즉, 기사를 올리고 고치는 내부 인트라넷이 악성파일 전파의 매개체로 활용된 것이 드러났다.

지난 6월 25일 오전 9시 전후로 청와대 등의 정부부처 및 공공기관 외에도 티브로드, 아름방송, 제주방송, 이데일리TV, 한국정책방송 KTV 등의 보도정보 시스템이 해킹을 당한 것으로 알려졌는데, 이를 분석한 자료가 발표된 것이다.

잉카인터넷 대응팀은 지난 6월 25일 오전 6시경 제작된 악성파일이 어떤 과정을 통해서 특정 신문사 내부로 전파됐고, MBR 및 데이터를 파괴했는지 프로파일링과 타임라인을 통해서 확인된 내용을 4일 최초로 공개했다.

잉카인터넷 대응팀에 따르면 신문사 공격에 이용된 일부 악성파일은 올해 3월 초에 제작된 경우도 존재하고, 데이터파괴 기능용은 6월 25일 당시 제작된 것으로 분석됐다. 

이와 관련 잉카인터넷 대응팀의 문종현 팀장은 “특정 악성파일의 코드분석에 의해 공식 확인된 바에 의하면 신문사 내부적으로 활용하는 보도제작 및 관리 프로그램의 업데이트 기능을 해킹하고 변조하여 네트워크에 은밀하게 전파시켰던 것으로 파악됐다”며, “지난 2009년 7.7 디도스 때부터 최근 3.20 사이버테러까지 Updater 프로그램을 공격통로로 동일하게 사용하고 있었다”고 설명했다.

이렇듯 업데이트 프로그램에 악성파일을 교묘하게 추가하고, 별도의 다운로드 기능 등을 추가해 업데이트 프로그램이 변조되면 이용자가 새로운 패치작업을 하는 과정에서 악성파일에 노출된다는 것. 특히, 신문사 환경에 따라 맞춤형으로 악성파일이 제작된 것으로 알려졌다.

더욱이 이번 신문사 내부 인트라넷의 업데이트 기능을 위변조해 악성파일을 설치한 사례는 과거 7.7 및 3.4 디도스 대란, 농협 전산망 마비사태, 그리고 3.20 사이버테러와도 많은 유사성을 보인다는 게 잉카인터넷 측의 분석이다.

앞서 발생한 큰 사건과 비교해볼 때 공통적인 부분이 바로 Drive By Download 방식을 사용하지 않았다는 것. 공격자들은 파일공유 사이트(웹하드) 등에서 사용하는 정상 프로그램을 고의적으로 변조하거나 특정 보안 솔루션의 서비스를 교묘하고 치밀하게 악용하고 있다는 설명이다. 이러한 수법은 각종 보안 취약점을 이용해서 불특정 다수가 방문하는 웹사이트를 통해서 전파시키는 악성파일 감염방식과는 구분된다. 

이에 따라 이러한 유형의 공격들은 웹사이트 방문을 통해서 전파되는 악성파일이나 해킹 여부만을 집중 관제하는 방식으로는 사전 탐지자체가 불가능에 가깝다는 게 잉카인터넷 대응팀 측의 설명이다.

이와 관련 문종현 팀장은 “이번 6.25 사이버전도 같은 맥락에서 중요한 공통점이 확인됐고, 그것은 바로 일부 신문사에서 사용하는 특정 프로그램의 업데이트 기능을 악용하여 악성파일 전파에 역이용됐다는 점”이라고 설명했다.

덧붙여 그는 “우리 팀에서 지난 6월 25일부터 1주일 넘게 지속적으로 악성파일을 추적하고, 역학조사를 수행하고 있는데, 아직까지도 알려지지 않은 악성파일이 다수 존재할 것으로 예측된다”며, “7.7 디도스 대란부터 6.25 사이버전까지 수행해온 조직들은 Drive By Download 기법을 통해서 불특정 다수에게 전파되는 온라인 게임 및 금융정보 탈취형태의 사이버범죄형 악성파일 종류와는 공격기법과 목적이 크게 다르다는 것을 명심해야 한다”고 강조했다.  

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>