미사일 발사 등 연이은 도발로 북한에 대한 관심이 높아진 상황 노린 듯
웹사이트에 방문만 해도 감염되는 ‘드라이브 바이 다운로드’ 공격

[보안뉴스 원병철 기자] 문재인 대통령 취임 이후 북한의 연이은 미사일 발사로 전 세계의 관심이 북한에 쏠려있는 이 때, 북한관련 연구기관의 웹사이트에서 악성링크가 탐지된 것으로 드러났다.


북한 관련 전문기관 웹사이트에서 ActiveX 취약점을 이용한 드라이브 바이 다운로드(Drive-by-download) 공격이 발생한 것이 확인됐다고 인터넷 서비스 전문 업체 빛스캔(대표 김경근)은 밝혔다. 악성링크 삽입을 통해 다른 취약한 페이지로 이동하여 PHP 확장자로 위장된 실행 파일을 내려 받아 실행한다. 해당 악성파일은 인터넷 익스플로러 환경에서 키 입력을 가로채는 것으로 분석됐다.

이는 전형적인 워터링 홀 공격 방식으로, 웹 사이트 소스코드 내에 감염을 유도하는 취약점을 심어놓고, 공격 타깃이 ‘N사’ 웹사이트를 방문했을 때 취약점에 포함된 코드가 동작해 악성 행위가 발생하는 형태다. 이는 과거부터 현재까지 꾸준히 발생하고 있다.

빛스캔은 PCDS(Pre-Crime Detect Satellite) 시스템을 이용, 취약점이 발생한 페이지의 정보를 주기적으로 모니터링했다. 공격자는 악성코드를 유포하기 전에 1, 2차에 걸쳐 테스트 코드를 작성했고, 3차례에 걸쳐 악성코드를 유포한 정황이 탐지됐다.

공격자는 테스트 코드를 작성하면서 취약점을 파악하고, 대상을 선정한 뒤 공격 당일 오전에 실제 공격을 위한 준비를 마무리했다. 5월 24일 오후에 또 다시 PCDS Alert이 발생했으며, 해당 공격 코드를 통해 경유지 링크(악성 URI)로 연결하여 악성코드를 내려 받았다.


즉, 워터링 홀과 DBD(Drive By Download)가 결합된 형태의 악성 스크립트가 동작했으며, 이로 인해 생성된 악성코드는 코드가 난독화되어 있지만, 전반부 코드를 확인했을 때 공격자가 ActiveX의 취약점을 이용해 악성링크를 유포하는 것으로 분석됐다.


악성코드를 간략하게 분석한 결과, 인터넷 익스플로러가 동작하면서 사용자 키 입력 정보를 가로채는 행위가 발견됐고, 이 정보는 공격자 서버로 전송하는 형태를 갖는 것으로 조사됐다.


빛스캔 오승택 팀장은 “공격자가 웹 페이지를 악용하는 가장 큰 이유는 불특정 다수에게 악성코드를 대량으로 빠르게 확산 시킬 수 있기 때문”이라면서, “웹사이트를 방문하는 사용자들은 자신도 모르는 사이에 악성 스크립트가 동작하고, 악성 파일을 내려 받아 자동으로 실행하게 되며, 다양한 공격에 활용된다”고 설명했다.

덧붙여 그는 “뿐만 아니라 좀비 PC가 되거나 사용자 계정탈취 및 파밍 사이트로 이동해 금융 정보를 가로채기도 한다. 최근 이슈가 됐던, 워너크립트 랜섬웨어는 웹이 아닌 SMB 취약점을 이용해서 유포됐지만, 파일을 암호화해서 금전적인 이득을 얻는 형태의 랜섬웨어도 웹을 통해 대량으로 유포될 수 있어 빠르게 통로를 찾아 차단해야 감염률을 낮출 수 있다”고 설명했다.

5월 16일 발견된 해당 악성링크는 1주간 잠복을 하다가 변형과정을 거친 뒤, 5월 24일 악성코드를 유포한 정황이 탐지됐다. 이는 공격자가 꾸준히 해당 페이지를 관찰하고 취약점을 분석했다는 것을 의미한다. 해당 웹사이트에 접속하면 ActiveX 설치와 동시에 사용자의 키 입력을 가로채는 행위를 진행한다.

빛스캔 측은 “웹사이트 방문만으로도 자동 감염되는 악성코드는 먼저 사용자의 보안인식을 높여야 하지만, 사용자의 부주의 탓으로만 돌리기에는 어려우며, 취약한 웹 서비스의 전체적인 점검과 관리를 통해 웹을 운용하는 환경 개선이 필요하다고 할 수 있다”며, “공격자들은 악성코드 유포뿐만 아니라 여러 개의 서버를 운용해 감시 및 추적을 피하기 때문에 빠른 시간 내 유포지 차단과 동시에 이를 알릴 수 있는 시스템이 필요하다”고 강조했다.

한편, 빛스캔은 현재는 악성링크가 삭제됐으며, 해당 내용을 한국인터넷진흥원에 알리고 샘플을 공유했다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>