익스플로잇 킷(Exploit Kit)은 해당 시스템에 악성코드를 감염시키기 위한 공격코드를 자동으로 생성하는 도구를 말한다. 자바, 플래시, 인터넷 익스플로러 등 해당 시스템의 응용프로그램의 취약점을 이용하며, 현재까지 전 세계적으로 약 150여 종이다.

특히, 국내 파밍용 악성코드를 유포하는 조직은 그동안 주로 CK VIP 익스플로잇 킷을 이용해 해당 시스템에 어떤 취약점이 존재하는지를 확인하고, 해당 시스템에 적합한 공격코드를 이용한 것으로 알려졌다. 또한, 취약한 버전의 응용프로그램을 이용하는 시스템이 웹사이트에 방문할 경우 해당 시스템을 악성코드에 감염시키는 드라이브 바이 다운로드(Drive-by-Download) 방식을 주로 이용한다.

그러나 이번에 취약점이 추가된 정황이 포착되면서 이용자들의 피해가 확산될 것으로 보인다. 이와 관련 지난 26일 한 종교관련 웹사이트에서 기존 CK VIP 익스플로잇에 마이크로소프트 실버라이트 취약점을 이용하는 공격코드가 추가된 정황이 포착됐다. 또한, 플래시 17버전까지 확인하는 기능이 추가된 정황도 발견됐다.

이를 본지에 제보한 순천향대학교 사이버보안연구센터 김종기 연구원은 28일 본지와의 인터뷰에서 “악용하는 플래시 취약점의 범위가 확장됐다”며 “이전에는 플래시 16버전까지만을 체크했는데, 이제는 17버전인지도 체크하는 기능을 공격자가 함수로 추가해 체크범위가 확대됐다”고 밝혔다.

또한 지난해 4월부터 기승을 부리고 있는 Angler 익스플로잇 킷 역시 최근에도 활발히 활동하며, 실버라이트(Silverlight), 어도비 플래시(Adobe Flash), 자바 취약점을 이용하고 있다.

이와 관련 순천향대학교 양정인 연구원은 “국내에는 Angler, SweetOrange, Rig, Magnitude 등 다양한 익스플로잇 킷을 통해 악성코드가 유포된 이력이 있다”며 “최근에는 사용자 PC의 주요 파일을 암호화해 몸값을 요구하는 크립토락커 랜섬웨어의 경우 Angler 익스플로잇 킷을 이용하고 있다”고 분석했다.

이어 그는 “현재 국내 파밍 악성코드 유포 조직은 대부분이 CK VIP 익스플로잇 킷을 사용하는데, 실버라이트 취약점 공격코드 추가는 사용자의 악성코드 감염 가능성이 확대되고 있음을 시사하고 있다”며, “인터넷 사용자를 위협하는 익스플로잇 킷도 공격 성공 확률을 높이기 위해 끊임없이 진화하고 있어서 주의가 필요하다”고 강조했다.

따라서 이용자는 악성코드 감염을 막기 위해서는 인터넷 사용자들은 응용프로그램을 최신 버전으로 업데이트하는 등의 각별한 노력이 필요하다.

[참고] 최신 응용프로그램 다운로드/업데이트 주소

인터넷 익스플로러 (Internet Explorer 11)

- http://windows.microsoft.com/ko-kr/internet-explorer/download-ie

자바 (Java)

- http://java.com/ko/download/installed.jsp

플래쉬 (Adobe Flash Player)

- http://get.adobe.com/flashplayer

실버라이트

- http://www.microsoft.com/getsilverlight/Get-Started/Install/Default.aspx

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>