• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중국의 코도소 팀, 포브스 통한 우회공격 감행 2015.02.11

방문자 많기로 손꼽히는 사이트의 작은 위젯 감염시킨 공격

MS의 취약점과 어도비의 취약점을 모두 뚫어낸 익스플로잇


[보안뉴스 문가용] 중국이 또 일을 저질렀다. 흔하디 흔한 우회공격 수법을 썼고, 본의 아니게 중간 통로, 혹은 덫이 된 사이트는 포브스를 위시로 한 여타 유명, 합법 사이트였다. 이를 발견한 아이사이트(iSight)와 인빈시아(Invincea)는 범인으로 코도소 팀(Codoso Team)이라는 중국 해킹 단체를 지목했다. 코도소 팀은 선샵 그룹(SunShop Group)이라고 불리기도 한다. 이 사건의 빌미가 된 건, 지금은 패치가 된 어도비의 제로데이 취약점이었다. MS IE의 ASLR 기술 내에 있던 취약점과 함께였다. 이 ASLR 취약점 역시 오늘 MS 정기 패치로 해결이 된 상태다.

 


조사에 의하면 공격 자체는 단 이틀 간 진행되었을 정도로 길지 않았다. 게다가 포브스 사이트 전체를 해킹한 것도 아니었다. 다만 포브스에서 운영하고 있는 ‘오늘의 좋은 생각’ 위젯을 감염시켰을 뿐이다. 포브스라 하면 세계에서 가장 인기 많은 사이트 중 61위를 기록할 정도로 트래픽이 많이 발생하는 곳이다. 그러나 이번 중국 해커들이 노린 건 상당히 소수였다. 그 많은 독자들 중 국방산업 관계자, 중국의 국익을 저해하는 단체, 정치적인 관계에 놓인 인물, 금융 기관 및 관계자, 의학 및 에너지 산업 단체 및 관계자에 그쳤기 때문이다.


“정보라면 가리지 않고 다 긁어가는 짓을 하는 게 아니라 처음부터 원하는 정보가 무엇인지 정해놓고 정교하게 움직였습니다. 아무 데나 멀웨어를 깔고 불법 다운로드를 유도한 게 아닙니다. 그렇기 때문에 ‘지적 재산’이라고 분류될 수 있을만한 정보를 가지고 있는 단체나 인물이 주요 타깃이 되었습니다.” 아이사이트의 수석 책임자인 존 헐트퀴스트(John Hultquist)의 설명이다.


이 코도소 그룹은 2013년 파이어아이에게 처음 그 흔적을 드러냈는데 당시는 선샵 그룹이라고 불렀다. 발견된 건 2013년이지만 2010년부터 주요 보안전문 업체의 감시망에 머무르는 주요 감시 대상이었다. “2010년만 하더라도 중국에 대해 비판적인 목소리를 내는 단체나 인물을 겨냥한 사이버 공격이 성공하면 상금을 줬습니다. 그런 상금을 노리는 듯이 갑자기 등장한 선샵 그룹은 웹 사이트를 해킹해 방문자 시스템에 멀웨어를 까는 등의 겨냥형 공격을 일삼았습니다. 하지만 요즘에는 그렇지 않죠. 스피어피싱 공격도 익혔더군요.”


코도소 팀의 공격 방법은 또 다른 중국 해킹 단체인 딥 팬더(Deep Panda)의 그것과도 닮았다. 두 단체 다 데루스비(Derusbi)라는 멀웨어에 대한 의존도가 대단히 높기 때문이다. 그러나 아이사이트에 의하면 둘의 연관성은 여기까지이지, 더 깊은 관계이거나 다른 이름을 쓰는 하나의 단체일 가능성은 낮다.


이 공격을 최초로 발견한 인빈시아는 국방 산업에 종사하는 한 고객의 제보로 수사를 시작했다고 한다. 처음엔 유명 미디어 사이트에 걸린 광고를 오염시켜 버리는, 일명 멀버타이징을 의심하고 조사에 나섰다가 고도의 타깃형 공격방식과 조우해 굉장히 당황했다는 게 CEO인 아눕 고시(Anup Ghosho)의 설명이다. 또한 두 가지 취약점을 다 활용하고 있다는 것도 놀라웠다고. “플래시의 제로데이 취약점뿐 아니라 ASLR의 제로데이 취약점도 같이 악용한 것으로 드러났습니다.”


두 가지 취약점을 한꺼번에 활용했다는 게 상당히 대단한 점이라고 아이사이트의 부회장인 패트릭 맥브라이드(Patrick McBride)의 설명이다. “현대의 OS와 브라우저 환경에는 MS가 개발한 ASLR이라는 보호층이 얇게 깔려 있습니다. 그 보호층 때문에 특정 익스플로잇들이 작동해야 할 장소를 못 찾고 헤매는 게 대부분입니다. 그래서 버퍼오버플로우를 공략하는 게 굉장히 어렵습니다. 어지간한 해커들에게는 불가능의 영역에 있을 정도죠. 그런데 코도소 팀은 ASLR에 있는 취약점 자체를 공략해서 그 보호층 밖으로 무대를 옮긴 후 곧바로 플래시의 취약점을 뚫어버린 겁니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>