리얼타임 비딩과 맞물려 워터링홀 공격 대체하는 분위기

간헐적인 리다이렉팅 때문에 블랙리스트화 및 감지 어려워

[보안뉴스 문가용] 인빈시아(Invincea)는 최근 미국의 국방 산업을 겨냥한 멀버타이징 APT 공격에 대한 보고서를 발간했다. 이번 보고서를 통해 인빈시아는 지난 9월부터 최소 24개의 마이크로 타기팅 공격을 적발했다는 사실을 밝히면서, 이 공격의 목표는 지적 재산 탈취일 가능성이 높다고 했다. 광고를 통한 사기가 아니라는 게 이례적이다.

지난 6개월 동안 인빈시아는 타깃형 멀버타이징 공격을 적발해 무력화시켜왔는데 특히 국방 산업에서 그런 활동을 활발히 해왔다. “전통적인 사이버 범죄 방식과 타깃형 공격 방식을 조합한 형태의 공격이 국방 산업에서 일어나고 있는 것을 발견했습니다. 사이버 범죄의 방식이 점점 합쳐지고 발전하고 있습니다. 게다가 사실상 국가를 겨냥해서 일어나고 있다는 것도 놀라운 점 중 하나입니다.”

멀버타이징 공격이라고 하면 대부분 ‘클릭 사기’를 위한 것이었다고 인빈시아의 보안 분석가인 팻 벨처(Pat Belcher)는 설명한다. “그런데 이번에 발견한 공격들은 원격에서 꾸준히 공격할 수 있는 유출 지점을 대상 네트워크 내에서 확보하는 것을 목표로 삼고 있었습니다. 이 공격들을 하나로 묶어서 데스클릭 작전(Operation DeathClick)이라고 저희는 부르고 있는데요, 대부분은 백도어 트로이목마와 비슷한 멀웨어를 사용하더군요. 유출 지점을 확보하는 데에 성공한 공격자들은 네트워크 내에서 활동 범위를 넓혀나가면서 비슷한 공격을 계속해서 반복하고, 그런 식으로 정보를 계속해서 빼내갔던 것입니다.”

인빈시아에 따르면 이번 캠페인을 진행한 해커들은 IP 주소 범위, 지리적으로 특정 범위 내로 좁혀진 집코드(ZIP Code), 목표가 된 사용자나 회사의 흥밋거리에 대한 정보를 활용한 마이크로 타기팅 시스템을 사용했다. 또한 실시간 비딩(RTB)을 사용함으로써 악성 광고가 공격 대상에게 정확히 도착하도록 2중 장치를 만들었다.

“RTB 마이크로 타기팅 기법은 예전의 워터링 홀이라는 우회 공격을 대체하고 있는 새로운 공격 기법입니다. 이를 활용하면 특정 사이트를 해킹할 필요도, 공격 목표가 악성 사이트를 방문하기를 기다리거나 익스플로잇 킷을 실행할 때까지 가만히 있을 필요도 없습니다. 게다가 훨씬 쉽고 가격도 저렴합니다. 발각 가능성도 엄청난 수준으로 떨어지고요.”

공격자들은 자신들의 광고를 잠깐 잠깐 리다이렉트시키는데, 그때마다 익스플로잇 킷이 들어있던 페이지들을 영구히 지워버린다. 그렇기 때문에 목록화 되어 있는 위협 정보는 무용지물이 된다. 게다가 사용된 도메인 주소마저 프록시 블랙리스트에 남지 않게 되며 멀웨어 드로퍼들 역시 매번 다른 시그니처를 가지게 되니 기존의 감지 기술로는 잡아내기가 여간 까다로운 게 아니다.

“RTB에는 누구나 참여할 수 있습니다. 그것도 무기명으로요. 그리고 페이팔 같은 서드파티 업체를 통해 지불을 하죠. 그러니 광고주나 멀버타이저 해커들이나 같은 선상에서 경쟁하게 되고, 실제로도 가끔씩만 악성 페이지로 리다이렉팅 하기 때문에 구분하기도 힘듭니다.” 힘들게 잡아냈다고 하더라도 무기명이기 때문에 비딩에 참여하는 계정을 정지시키는 것밖에는 실제로 할 수 있는 일도 없다. 그러나 이 역시 해결책이 될 수는 없다. 해커 입장에서는 계정을 새로 하나 만들면 그만인 문제이기 때문이다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>