21일, 국내 안보 관련 주요 연구소 웹 사이트, 악성URL 탐지

[보안뉴스 김경애] 지난해 4월, 5월 국내 안보 관련 주요 연구소를 대상으로 한 표적공격이 발견된 바 있다. 이는 특정 대상들만이 주로 방문하는 사이트를 대상으로 한 악성코드 감염 시도로 워터링홀(Watering Hole) 공격이라 부른다. 특정 계층이나 관련된 인사들만이 접근하는 사이트들에 악성코드 감염을 유도하는 것이다. 

국내에서는 이미 2005년부터 게임관련 유저를 대상으로 발생됐으며, 지금도 매주 비일비재하게 일어나고 있다. 해외에서도 웹 서비스 방문만으로 감염되는 Drive By Download 공격이 큰 이슈가 되고 있는 상황이다.

이와 관련 빛스캔은 “지난 21일 국내 안보 관련 주요 연구소의 웹사이트에 악성URL 삽입이 탐지됐으며, 감염 대상을 한정해 공격하는 워터링 홀 공격으로 추정된다”고 밝혔다.

공격자들은 모든 권한을 가진 상태에서 웹 서비스의 소스를 변경해 악성링크를 방문자들에게 자동으로 실행하도록 구성했다. 이는 대상을 한정해 악성코드를 감염시키기 위한 목적으로 이용한 것이다.

특히, 방문자 PC를 공격하는데 악용되는 윈도우 OLE 취약점(CVE-2014-6332)은 웹 브라우저인 IE가 OLE 객체를 처리하는 과정에서 원격으로 코드를 실행할 수 있다. 현재 한국군사문제연구원 웹사이트 내에 삽입된 악성링크는 차단이 완료되고, 추가 대응조치가 진행 중인 것으로 보인다.

국내 주요기관을 대상으로 한 이메일 APT 공격과 워터링 홀 표적형 감염 공격은 매우 심각한 상황이며, 취약한 웹을 통한 감염이라 대응방안이 많지 않다는 게 빛스캔 측의 설명이다. 또한 탐지 회피를 위해 사전에 악성링크를 만들어 두고, 공격 시점에만 공격코드를 추가하는 등 지능적 공격 및 단축 URL을 이용한 탐지회피 시도도 발견됐다는 것.

이와 같이 국내 주요기관과 기업을 대상으로 한 집요한 공격들은 현재도 계속되고 있으며, 보이지 않는 곳에서 은밀히 진행되고 있는 상황이다. 특히 대상이 한정된 공격의 경우, 정보유출 범위가 폭넓고 전문적인 자료들이 유출됐을 것으로 추정된다.

악성코드 유포를 위해 취약한 웹 서비스에 대량으로 악성링크를 삽입하는 공격은 여전히 활발하게 이루어지고 있다. 이러한 공격들은 정상링크와 단축 URL을 활용하고 있어 탐지장비 및 보안전문가들도 판단하기 어려운 상황이다.

주로 악성링크가 추가된 모든 웹 서비스(경유지) 방문자를 대상으로 공격이 발생되며, 접속하는 브라우저가 해당 취약점 중 한 가지 취약점에만 노출되어도 감염되고 좀비PC가 된다. 이렇게 악성코드에 감염된다면 PC의 모든 권한이 공격자에게 넘어간 상태가 되고, 추가적인 피해로 이어질 수 있다.

이와 관련 빛스캔 측은 악성코드를 유포한 사례가 있는 웹 서비스는 자체적인 보안대책을 강구하기 어렵다면 전문기관·기업의 협조를 받아 문제의 원인을 해결해야만 한다고 강조했다. 만약 근원적인 원인을 찾아 대응하지 않는다면 악성코드 유포 이슈와 내부 정보유출 위험에 계속 노출될 수 있다고 주의를 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>