SEO 포이즈닝 공격 통해 멀웨어 링크를 무방비 사용자들에게 노출
공격자들이 도망간다는 건 사용자 교육이 효과 없지 않다는 방증

[보안뉴스 문가용 기자] 뭔가 궁금한 것이 생겼을 때 사람들은 구글에서 검색을 한다. 그리고 엔터를 쳤을 때 나오는 결과들에 대해 아무런 의심을 갖지 않는다. 최근 공격자들이 이 점을 노리고 일반 웹 사용자들을 공격하기 시작했다. 검색 엔진 최적화(Search Engine Optimization, SEO)를 사용해 검색 결과를 조작함으로써 자신의 악성 링크를 무방비의 사용자들에게 노출시키는 것이다. 특별히 요즘 이 공격을 통해 퍼지는 건 제우스 팬더(Zeus Panda)라는 트로이목마다.


SEO는 해커들이 자신들이 악용할 링크를 검색 결과 창 상위에 올려놓을 수 있게 해준다. 즉 특정 키워드에 관해서 구글의 검색 결과를 ‘망쳐놓는 것(poisoning)’인데, 그래서 이를 SEO 포이즈닝 공격이라고도 한다. 공격자들이 검색 결과를 ‘망쳐놓는’ 키워드는 대부분 금융, 은행 등과 관련된 것들이다.

시스코 탈로스 팀의 위협 연구원인 얼 카터(Earl Carter)는 “SEO 포이즈닝 공격 자체는 예전부터 있어왔던 것”이라고 말한다. “SEO라는 게 원래 마케팅 용도로도 사람들이 자신의 링크를 더 많은 사람들에게 노출시킬 수 있게 해주는 기술입니다. 넓게 보면 그런 기술들이 있다는 것 자체가 검색 결과를 조작하기 위한 것이었죠. 최근 발견된 SEO 포이즈닝 공격이 독특한 건 그러한 SEO의 기능을 멀웨어 배포에 활용했다는 겁니다.”

공격자들이 활용하고 있는 키워드를 봤을 때 특정 지역의 사람을 노리는 것 같다고 시스코 팀은 추측하고 있다. “이들이 악용하고 있는 검색 키워드에 nordea sweden bank account number라든가 al rajhi bank working hours during ramadan, 혹은 sbi bank recurring deposit form 등이 있습니다.”

해커들은 먼저 웹 서버들을 침해하고, 그 웹 서버들을 사용해 악성 링크가 특정 환경에서의 검색 시 상위 층에 노출되도록 했다. 대부분의 경우 검색 결과의 첫 페이지에 자신들의 링크를 올려놓는 데에 성공했다. 얼른 보기에 링크 자체는 별 이상이 없어 보인다. 정상적인 기업처럼 보이게끔 모든 것을 꾸며놓았기 때문이다.

“보안 교육이 효과가 없다, 사용자들이 듣지 않는다고들 하지만 그래도 사용자들의 인식이 꾸준히 올라가고 있습니다. 그래서 수상한 이메일을 열어보는 경우도 점점 줄어들고, 첨부파일을 아무렇게나 다운로드 받는 사람들도 감소하고 있죠. 그래서 공격자들은 구글 검색 결과 페이지라는 새로운 창구를 발견하게 된 겁니다.” 시스코팀의 에드문드 브루마긴(Edmund Brumaghin)의 설명이다.

침해된 서버들에 호스팅된 페이지에 접속하는 사용자들은 여러 단계에 걸쳐 멀웨어에 감염된다. 이런 다단계 방식의 감염은 최근 들어 공격자들이 널리 사용하기 시작한 것으로, 가짜 백신, 사기성 기술 지원 등 여러 유형의 공격에 응용되기도 한다. 하지만 결국 사용자들은 악성 워드 문서가 호스팅된 사이트로 유도된다. 이 문서 내에는 악성 매크로가 들어 있고, 문서를 연 순간 나타나는 Enable Content라는 버튼을 클릭하면 활성화된다.

시스코 팀이 해당 문서를 다운로드 받고 분석한 결과 악성 페이로드가 제우스 팬더의 새로운 버전임을 발견해냈다. 제우스 팬더는 트로이목마의 일종으로 은행 정보와 같은 민감한 정보를 훔쳐내는 기능을 하고 있다. “다단계 방식으로 감염을 진행하는데, 첫 단계에는 다양한 분석 방해 기능이 발휘되고, 탐지 기능을 우회하는 기능도 여럿 가지고 있습니다. 이전 버전과 기능 자체는 같은데, 이런 부가 기능을 입음으로써 탐지와 분석이 더 어렵게 되었습니다.”

침투에 성공한 멀웨어는 제일 먼저 시스템의 키보드 매핑을 점검해 사용자의 언어권부터 알아낸다. 러시아어, 벨라루스어, 카자흐어, 우크라이나어가 탐지되면 공격을 중단한다. 또한 러시아, 우크라이나, 벨라루스, 카자흐스탄 내에 있는 시스템들은 공격하지 않는다. 또한 샌드박스나 하이퍼바이저 환경에 있어도 작동을 중지한다. VM웨어, 버추얼PC(VirtualPC), 버추얼박스(VirtualBox), 패럴렐즈(Parallels), 샌드박시(Sandboxie), 와인(Wine), 소프트아이스(SoftIce) 등이 좋은 예다. 유명 분석 툴이 발견돼도 마찬가지다.

하지만 제우스 팬더의 원 공격자들이 이번 사건과도 연루되어 있는지는 아직 정확히 말하기가 어렵다. “보통 한 번 공격에 성공했어도 해커들은 끊임없이 새로운 전략이나 공격 도구를 시도하거든요. 이번에 발견된 제우스 팬더 버전은 새로워졌다고 말하기도 애매하고 그렇지 않다고 말하기도 애매합니다. 그래서 같은 이들이 공격을 시작한 건지, 새로운 공격자들이 코드를 구해다 쓴 건지 확신하기가 어렵습니다.”

카터와 브루마긴은 “사용자 교육과 훈련은 계속되어야 한다”고 강력하게 주장한다. “효과가 없어 보이기도 하지만, 결코 효과가 없는 게 아닙니다. 그에 대한 증거가 공격자들이 자꾸만 새로운 방식을 시도한다는 겁니다. 공격자들이 자꾸만 새로운 것을 찾도록 압박하는 것, 그것이 바로 사용자 교육입니다. 사용자들은 구글 검색 결과 창을 있는 그대로 믿지 말고, 자신이 평소 알고 있는 사이트만 골라서 들어가야 할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>