[보안뉴스 김경애] 최근 해외뿐만 아니라 국내에서도 화두가 되고 있는 APT(Advanced Persistent Threat, 지속위협 공격)은 특정한 대상을 직접 노리는 공격(Targeted Attack)과 다수의 대상을 노리는 공격(Watering Hole Attack)으로 나눌 수 있다.

국내에서는 웹사이트 내에 악성링크를 삽입해 보안이 취약한 사용자가 해당 사이트를 방문하는 과정에서 악성코드에 감염시키는 형태의 공격이 주를 이루고 있는데, 이러한 공격 방식을 Drive-by-download라고 한다. 이에 반해 해외에서는 특정한 대상을 직접 노리는 공격(Targeted attack)이 많이 발생하고 있다.

많은 사용자들을 감염시키기 위해 공격자는 다양한 기법을 활용한다. 그 중 APT의 특성을 이용한, 즉 기존의 공격들은 알려지지 않은 악성코드를 이용해서 공격을 시도하기 때문에 공격 성공률이 매우 높고, 기존 솔루션에 의해서 차단될 가능성이 낮기 때문에 그 만큼 효과적이라고 말할 수 있다.

게다가 한 두개가 아닌 수백 개의 웹사이트에 동시다발적으로 악성링크를 삽입하여 짧은 시간 동안 많은 사용자에게 악성코드에 감염시키게 하는 MalwareNet이라는 배포 방식을 이용한다.

2014년 하반기에는 대부분 웹사이트 100개 이하를 보유한 중급 규모의 MalwareNet이 간간이 활동하는 것으로 관찰됐으며, 11월 3주차에 들어서면서 최소 600여개의 웹 서버를 보유한 초대형급으로 발전됐다. [그림 1]과 같이, 지난 주말에는 지금껏 관찰된 바가 없는 초대형 MalwareNet이 활동하기 시작했으며, 그 규모는 약 1,000여개의 웹사이트를 보유한 것으로 확인됐다.

이와 관련 빛스캔(대표 문일준)은 초대형 MalwareNet의 문제는 단 하나의 내용 변경만으로도 천여 개 이상의 웹서비스들에서 동일한 공격이 방문하는 이용자들을 대상으로 발생된다며 대규모 감염을 상시적으로 발생시킬 수 있고, 실시간 대응이 어려운 공격기법들을 공격자들이 즉시 활용할 수 있다는 점에서 매우 심각하다고 밝혔다.

이와 같은 MalwareNet 탐지 및 대응을 위해서는 컴퓨터 이용자뿐만 아니라, 국가 유관기관, ISP 등과의 공조도 필수적이다. MalwareNet이 활동을 하지 않는 시기라고 하더라도 해당 링크가 삽입되어 있는 웹사이트를 지속적으로 모니터링해 제거해야 한다. 또한, MalwarNet의 활동이 탐지될 경우에는 그 대상 및 범위를 관찰하고, 악성링크를 분석하는 등 추가 대응이 절실한 실정이라는 게 빛스캔 측의 설명이다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>