• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[주간 악성링크] 해킹팀 취약점 연구중? 사이버공격 ‘폭풍전야’ 2015.07.24

한 주간 악성파일 감소했지만...제로데이 취약점 공격 증가

5개 북한관련 사이트, 해킹팀 유출자료 악용한 악성코드 발견


[보안뉴스 김경애] 한 주간 악성코드 및 악성링크의 활동과 국내 파밍 공격을 주도하고 있는 CK 익스플로잇 킷(Exploit Kit) 공격 규모가 줄어든 반면, 이탈리아 해킹팀에서 유출된 자료에서 발견된 취약점을 이용한 공격은 증가한 것으로 나타나 이용자들의 각별한 주의가 요구된다.


5개 북한 관련 사이트, 악성코드 발견

전체적으로 악성파일이 감소된 원인에 대해 빛스캔은 해킹팀(Hacking Team)이 보유한 공격관련 데이터의 대규모 유출을 지목했다. 이는 지난 9일(한국 시간) 데이터 유출이 확인된 이래 수일간 악성링크 삽입 등의 공격 활동이 거의 중지된 정황이 포착됐기 때문이다.


하지만 제로데이 취약점인 CVE-2015-5119를 활용한 악성링크 삽입이 국내에서 포착되고 있으며, 점차 증가하고 있다.


이와 관련 지난 8일부터 14일까지 탈북자 모임 사이트를 비롯해 북한관련 사이트 5곳에서 이탈리아 해킹팀에서 유출된 취약점을 이용한 악성코드가 발견됐다. 또한, 최근에는 대북관련 매체 사이트에서 워터링홀 공격에 이용한 IP가 포착됐다. 뿐만 아니라 한글과컴퓨터사의 한글 등 오피스 프로그램에서 임의코드 실행이 가능한 취약점이 발견됐으며, MS15-078 폰트(Font) 관련 취약점 등도 발견됐다.


이와 관련 하우리 최상명 CERT실 실장은  “어도비 플래시 플레이어의 CVE-2015-5119와 CVE-2015-5122 취약점을 악용한 악성코드가 발견됐다”며 “플래시 플레이어는 기본 웹브라우저 플러그인이라 전세계 98% 이상의 PC에 설치되어 있으며, 드라이브 바이 다운로드 형식으로 유포돼 웹사이트 서핑만으로도 악성코드에 감염될 수 있다”며 주의를 당부했다.


제로데이 취약점, 박물관 사이트에서 발견

게다가 파밍 공격 조직 역시 제로데이 취약점을 활용할 가능성이 높아 보안위협은 더욱 커지고 있다. 이와 관련 BOB 3기 출신인 세종대학교 김남준 군은 “6월 이후 악성코드 경유지와 유포지가 크게 줄었으며, 최근에는 공격 조직이 웹사이트의 카운터 수를 파악하고 있다”며 “다음 공격을 위한 숨고르기로 새로운 형태의 공격을 준비하고 있는 것으로 보인다”고 말했다.


이는 공격자의 경우 돈에 따라 움직이기 때문에 공격방법 역시 시기나 이슈 등에 따라 변화를 주고 있어 현재는 그 준비과정일 수 있다는 얘기다. 마치 폭풍전야의 고요함으로 어느 때보다 예의주시해야 한다는 것.


하지만 악성코드 감소추세라고 해도 중소기업에는 예외가 되고 있다. XX트리 사이트에서 지속적으로 악성링크가 삽입된 정황이 포착되는가 하면, XXX포유 사이트 역시 악성파일이 발견됐다. 또한, 금융정보와 개인정보 탈취를 위한 공격용 악성코드 역시 계속 탐지되고 있다.


이와 관련 지난 9일 XXXXXX박물관 사이트에서 악성링크가 삽입된 정황이 포착됐다. 해당 사이트에서 발견된 악성링크는 초기에 카운터 서버로 연결됐지만, 주말에 최근에 발견된 어도비 플래시 취약점인 CVE-2015-5119의 공격코드로 연결되는 것으로 밝혔다.


이와 관련 빛스캔 측은 “현재 비정상링크는 다시 카운터 서버로 변경된 상태이지만, 많은 웹사이트들에 해당 악성링크가 계속 삽입되어 있는 상태로 운영되고 있기 때문에 신규 취약점이 추가 삽입되어 영향을 미칠 가능성이 높은 상태”라며 “특히, 신규 취약점의 경우 최신 보안 패치를 하지 않을 경우 감염될 가능성이 높기 때문에 향후 업데이트 되는 보안 패치에 각별히 신경 쓸 필요가 있다”고 당부했다.


국내 도메인 이용한 피싱 기승

국내 도메인을 이용한 피싱 사이트 역시 곳곳에서 발견되고 있다. 지난 17일에는 XX공구 도메인을 이용한 피싱 사이트가 발견됐으며, 해당 사이트에서는 사용자 정보와 쿠키정보 체크, 사용자 추적 코드와 사용자 정보를 체크하는 등의 악성파일이 탐지됐다.

이어 같은 날 XX테크 사이트에서는 중국 사이트(www.ro521.com/****.***)로 연결되는 악성링크가 포착됐으며, 사용자 정보와 악성파일 등도 발견됐다. 이보다 앞선 지난 7월 2~3째주에도 수많은 사이트에서 동일한 악성링크가 탐지됐다.


이와 관련 한 보안전문가는 “중국 사이트로 연결되는 악성링크의 경우 이미 수년전부터 국내 웹사이트에 심어진 악성파일로 잘 알려져 있다”며 “백신에서도 탐지되고 있으며, 바이러스토탈 사이트에서도 분석된 상태지만, 국내 웹사이트에서 여전히 발견되고 있다”고 말했다.


그럼에도 불구하고 해당 악성링크가 제거되지 않고 방치된 사이트가 상당수에 이른다. 이는 그만큼 웹사이트 관리가 소홀하고, 보안이 취약한 웹사이트가 많다는 것을 의미한다. 더욱이 해킹팀 이슈로 신규 취약점 역시 지속적으로 발견되고 있어 웹사이트 이용자는 SW와 백신을 최신 버전으로 업데이트 하고 기업에서는 보안관리에 만전을 기해야 할 것으로 보인다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>