특정 의료뉴스 사이트에 악성링크 삽입돼

금융정보 탈취 후 감염된 사용자 직접 관리·감시

[보안뉴스 민세아] APT(Advanced Persistent Threat) 공격은 대개 알려지지 않은 악성코드를 이용해서 공격을 시도하기 때문에 공격 성공률이 매우 높다. 기존 솔루션에 의해 차단될 가능성도 낮기 때문에 그만큼 치명적이라고 할 수 있다.

APT 공격은 초기에는 일부 공공기관, 금융기관, 사회기반시설 등 국가의 중요시설과 경제적인 타격을 입히기 위한 전략으로 사용돼 왔다. 지난해부터는 일반 기업과 의료 등을 특정 타깃으로 하는 악성코드 유포가 웹사이트를 통해 빈번하게 발생하고 있다.

특히 의료분야를 타깃으로 한 악성코드 유포는 지난해 8월 공격자 서버를 통해서 따로 관리되고 있는 것을 확인했다. 올해까지도 크고 작은 의료관련 사이트에서 악성코드가 계속 유포되고 있는 심각한 상황이다.

공격자가 [그림 1]과 같이 의료정보에 접근할 수 있게 된 가장 큰 이유로는 의료 분야 사용자들이 많이 찾는 의료관련 사이트에 악성링크를 삽입해 사용자가 방문만 해도 악성코드를 자동으로 다운로드 할 수 있도록 유도했기 때문이다.

만약 취약한 사용자가 사이트에 방문해 PC에 악성코드가 감염되면 해당 악성코드는 공격자와의 연결을 시도하고, 공격자는 감염된 PC를 마음대로 조정할 수 있게 되는 좀비PC가 된다. 이로 인해 사용자의 PC의 중요한 자료 및 개인정보를 탈취당할 수 있는 가능성이 존재한다.

더욱 우려되는 사항은 앞서 언급했듯 올해도 지난해와 같이 비슷한 형태 위협이 탐지되고 있다는 것. 악성코드 유포지·경유지에 이용된 의료관련 사이트를 살펴보면 대형 병원부터 소규모 병원과 의료관련 커뮤니티까지 다양한 부문에 걸쳐서 유포가 진행했다.

대형병원과 같은 경우 보안인력이 있기 때문에 문제를 수정하는 등 신속한 대응이 가능하지만, 소규모 병원의 경우 짧게는 1주일에서 길게는 1달까지 심지어는 현재까지도 이용되는 모습을 보이고 있다. 보안전문기업 빛스캔은 최근 국내 대표적인 의료뉴스 사이트 한 곳에서 악성링크가 삽입돼 있는 정황을 발견했다고 전했다.

악성링크가 삽입된 해당 의료뉴스 사이트는 랭키닷컴에서 의료관련 사이트 랭킹이 상위권에 있을 만큼 인지도가 매우 높은 사이트다. 의료에 관련돼 있는 정보를 제공하고 있어 의료 정보에 관심 있는 일반 사용자뿐만 아니라 의료분야 종사자가 유입되는 비율이 높을 수밖에 없다.

해당 사이트에 삽입돼 연결되는 악성링크는 총 2번에 걸쳐 공격도구가 교체됐다. 첫 번째는 현재 국내에서 활발히 활동중인 카이홍이 사용됐고, 두 번째는 지난 9월 국내에 처음 유입된 스윗 오렌지 킷으로 확인됐다.

이 둘이 이용하는 취약점과 연결방식은 다르지만 한 가지 공통된 점이 있다. 모두 금융정보 탈취 악성코드를 최종으로 다운로드하고, 공격자 서버에서 감염된 사용자를 프로그램을 통해 직접 관리하고 감시한다는 점이다. 최근 공인인증서 유출이 빈번하게 발생하고 있다는 사실로 미루어 볼 때 의료종사자 PC가 감염된다면 의료 관련 공인인증서 유출과 같은 피해가 발생할 수 있을 것으로 보인다.

APT 공격은 알려지지 않은 악성코드를 이용해서 공격을 시도하기 때문에 공격 성공률이 매우 높으며 치밀하다. 보다 전문화된 악성코드 실시간 탐지를 활용해 취약한 웹사이트를 찾아내어 사후가 아닌 사전에 차단해야 한다.

기존의 보안 솔루션은 알려진 악성코드만 대응할 수 있도록 설계돼 있기 때문에 보안 솔루션을 우회하는 공격에는 취약할 수밖에 없다. 알려지지 않은 공격에는 당할 수밖에 없다는 현실에 직면해 있으며, 사전 대응이 아닌 사후 대응에 초점이 맞춰져 있다는 게 빛스캔 측의 우려다.

이처럼 내부망으로 유입되는 악성코드를 방지하고, 외부의 APT 공격에 대응하기 위해서는 기존 보안 솔루션만으로는 부족하다. APT 공격에 대응하기 위해서는 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시하는 종합적인 대응이 필요하다는 지적이다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>