웹 애플리케이션들을 노리는 공격자들이 그 어느 때보다 자동화 도구를 많이 사용하고 있다. 이 때문에 공격 효율이 올라갔다. 특히 애플리케이션을 실험해보는 퍼징이 보다 쉬워졌다는 것이 공격자들에게 가장 기쁜 소식이라고 한다.

[보안뉴스 문가용 기자] 웹 애플리케이션들을 공격하는 사이버 범죄자들 사이에서 자동화 기술을 갖춘 도구가 점점 더 보편화 되고 있다고 보안 업체 바라쿠다 네트웍스(Barracuda Networks)의 연구원들이 발표했다. 지난 두 달 동안 웹 애플리케이션 생태계에서 발생한 공격들을 분석해 내린 결론이라고 한다.


자동화 도구를 사용한 공격 유형 중 가장 빈번히 나타난 것은 순서대로 다음과 같았다.
1) 퍼징 공격(19.46%)
2) 주입 공격(12.07%)
3) 가짜 봇 공격(12.02%)
4) 애플리케이션 디도스(9.29%)
5) 봇 공격(1.2%)

자동화 도구를 활용한 공격이란, 봇을 사용해 웹 애플리케이션 내부에서 발견된 취약점들을 익스플로잇 하는 것으로, 이런 공격을 실시하는 자들은 크게 두 부류로 구분할 수 있다.
1) 특정 웹사이트를 겨냥하지 않고 무작위 공격을 대량으로 실시하는 부류
2) 온라인 상거래 기능을 가진 사이트 등 특정 사이트만을 집중해서 노리는 부류

공격자들이 공격에 사용하는 봇들은 구글 등에서 활성화시킨 정상 봇들로 위장하고 있어 기본적인 탐지 기능들을 피해갈 수 있다. 혹은 웹 애플리케이션의 로딩 과정을 조용히 과부하시킴으로써 웹 사이트를 통째로 마비시키는 디도스 공격을 하기도 한다. 공격 트래픽 대부분 퍼징이나 정찰(탐색) 과정에서 발생한다.

보안 업체 애플리케이션즈 앤 클라우드 시큐리티(Applications and Cloud Security)의 수석 제품 관리자인 투샤 리차바다스(Tushar Richabadas)는 “퍼징은 애플리케이션의 정상 작동 범위를 파악하는 데 주로 활용하는 테스트 기법”이라며 “공격자들은 이렇게 알아낸 작동 범위 정보를 바탕으로 애플리케이션을 망가트리려는 시도를 이어간다”고 설명한다.

“예를 들어 URL에 매개변수를 대량으로 보내면서 애플리케이션이 어떤 대응을 하나 관찰합니다. 애플리케이션은 오류 페이지를 띄우거나 할 텐데, 이 과정에서 공격자들은 SQL 데이터베이스가 사용되는지, 혹은 다른 종류의 DB가 웹 사이트에 연결되어 있는지 등을 파악할 수 있습니다. SQL DB가 있는 것으로 파악됐다면 SQL 주입 공격을 시도하고, 입력 값을 제대로 검사하지 않는 특성이 있다면 그 부분을 파고들겠죠.”

두 번째로 빈번히 나타나는 것으로 분석된 주입 공격의 경우, 상당히 오래 전부터 알려지고 관찰되어 온 웹 앱 공격 기법 중 하나다. 이 공격을 시도하는 자들은 sqlmap과 같은 자동화 도구를 사용해 앱 안으로 들어가려고 하는 게 보통이다. 그런데 이런 시도들은 거의 대부분 아마추어 해커들이 발생시키는 노이즈를 유발한다고 바라쿠다 측은 설명한다. “그리고 이런 어설픈 공격자들의 트래픽이 웹 앱 공격 트래픽의 대부분을 차지합니다.”

“고급스러운 공격을 실시하는 자들도 있습니다만 이들은 대부분 특정 사이트를 목표로 두고 조용히 움직이기 때문에 트래픽의 극히 일부만을 차지합니다. 하지만 처음에 아마추어로 시작한 이들이 꾸준히 공격을 실시하면서 고급 해커들로 자라납니다. 대량으로 하던 공격을 점점 좁은 범위 내에서 실시하기 시작하죠.” 리차다바스의 설명이다. “일부는 버그바운티 헌터가 되기도 하고, 화이트햇 해커가 되어 보안 업계로 진출합니다. 일부는 범죄자로 살아가기를 택하기도 하고요.”

가짜 봇을 동원한 공격은 점점 더 방어자들이 능숙하게 막기 시작했다. 그럼에도 가짜 봇은 점점 더 많아지고 있다. “가짜 봇들에 대한 경계심은 확실히 높아졌습니다. 특히 전자상거래 사이트 운영자들과 미디어, 출판 사이트, 항공사 등에서 가짜 봇을 많이 차단하는 편입니다. 가짜 봇 공격자들의 목적은 주로 정보를 꾸준히 캐내는 것으로, 트래픽 양을 급격히 올리지 않습니다. 숨어서 꾸준히 활동하는 게 유리하거든요.”

바라쿠다는 “애플리케이션 디도스 공격이 생각보다 상당히 많아서 놀랐다”고 말한다. 애플리케이션 디도스 공격은 웹사이트 전체를 마비시키려는 디도스 공격과는 조금 다르다. “애플리케이션 디도스 공격은 웹사이트 디도스 공격보다 좀 더 세밀하고 정교합니다. 사이트의 자원이 과도하게 로딩되도록 하되, 들키지 않도록 일을 꾸미죠. 웹사이트 디도스는 금방 눈에 띄니까 들키거나 말거나 공격을 합니다. 웹사이트는 살아 있는데 검색 기능이 작동하지 않는다든가 하는 식으로 나타납니다.”

리차다바스는 “애플리케이션 디도스 공격은 잘 알려져 있지 않다”며 “애초에 애플리케이션들 대부분 이러한 공격에 잘 방비가 되어 있다”고 설명한다. “따라서 주로 고급 기술을 가진 공격자들이 표적 공격을 실시할 때 나타나는 현상이라고 볼 수 있습니다. 그래서 ‘생각보다 많아서 놀랐다’고 저희는 느낀 것이고요.”

리차다바스는 “자동화 도구를 사용하는 공격자가 늘어났지만, 공격자들은 그 어느 때보다 부지런해지고 있다”고 경고했다. “자동화 도구 쓰니까 편하게 공격할 것 같지만 그렇지 않습니다. 저희가 분석한 공격 트래픽 대부분은 노이즈였습니다. 시그널은 숨겨져 있었죠. 즉 이들은 공격을 편하고 쉽게 하려고 자동화 도구를 사용하는 게 아니라, 효과를 높이려고 하는 겁니다. 공격자들이 추구하는 가장 중요한 덕목은 쉽고 편안한 게 아니라 효율과 효과라는 것을 다시 한 번 확인할 수 있었습니다.”

3줄 요약
1. 자동화 도구 사용해 웹 애플리케이션 노리는 공격자들이 늘어나고 있음.
2. 자동화 도구는 주로 퍼징, 주입, 가짜 봇, 앱 디도스 공격에 활용되고 있음.
3. 공격 트래픽 대부분은 아마추어들이 일으키는 것, 소수 일부는 진짜 실력자들의 은밀한 활동에서부터 나오는 것.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>