보안

사이버 공격, 치고 빠지기 방식으로 크리스천투데이에서 악성코드 유포

이대영 기자 | ITWorld 2014.02.12
공격자가 웹사이트를 악성코드 유포지로 활용하면서 치고 빠지는 패턴으로 감지를 회피하고 있는 정황이 발견됐다.

빛스캔은 지난 2월 11일, 인터넷 신문인 크리스천투데이 웹사이트에서 해킹을 통해 해당 웹사이트를 방문하는 사용자에게 악성코드가 자동으로 감염되게 하는 드라이브-바이-다운로드(DBD, Drive-by-download) 공격이 발생한 것으로 확인했다고 밝혔다.



빛스캔은 유포가 확인된 시점은 2월 11일 오후 2시경이었으며, 공격 방법은 공다팩 익스플로잇 툴킷(Gongdad Exploit Toolkit)이 사용된 것으로 분석했다. 빛스캔 측은 이 공격킷은 자바 7종, IE 1종, 어도비 플래시 1종의 취약점을 활용하고 있어, 보안 패치를 완벽하게 하지 않는 방문자는 바로 악성코드에 감염될 수 밖에 없다고 말했다.

최종 다운로드되는 악성 파일을 추가 분석한 결과 금융 관련 개인정보 유출에 활용되는 파밍과 백도어(원격 제어) 기능을 가진 것으로 확인했다. 만약 PC 사용자가 악성코드에 감염되었다면, 그 컴퓨터는 좀비 PC일뿐만 아니라 이미 공격자가 모든 권한을 갖고 있을 공산이 크다.

이로 인해 개인 사용자는 파밍으로 금전적인 피해를 입게 되고, 기업이나 기관내의 감염자들은 정보유출과 추가 침입의 통로로 이용될 수밖에 없다. 자바와 플래시의 경우 업데이트 관리가 용이하지 않은 상황임을 감안한다면 악성코드를 유포하는 사이트에 방문한 모든 PC가 감염됐다고 봐도 무방하다.

최근 웹 서버를 공격하는 목적이 해당 사이트의 DB를 탈취하는 것보다 악성코드를 유포하기 위한 매개체로 활용하는 경우가 증가하고 있다. 따라서 운영 중인 웹 서비스에서 악성코드 유포에 활용되는 URL을 탐지하는 방안도 고려해야 한다.

빛스캔 문일준 대표는 "최근에는 웹 사이트들이 파밍과 같이 금융 관련 범죄를 노리는 악성코드를 유포하는데 활용되는 사례가 많다"며, "기능에만 충실하고 보안에 대해 간과하는 경우 개인정보 유출, 악성코드 유포 등 방문자에게 치명적인 피해를 줄 수 있다는 점에서 웹 서버 관리자 및 보안 관리자는 보다 많은 관심과 노력을 기울일 필요가 있다"고 말했다.

최근 공격은 매우 빠르고 신속하게 진행되는 형태로 변화되고 있다. 빛스캔 측은 12일 새벽까지 악성코드를 유포하던 악성링크가 사라져 크리스천 투데이가 자체적으로 대응한 것으로 판단했지만, 해당 업체는 이와 같은 감염 사실을 전혀 모르고 있었다.

크리스천 투데이가 감염 사실을 인지한 것은 사실 확인차 전화했던 본지와의 통화를 통해서였다. 이런 정황으로 봐서는 공격자가 스스로 악성링크를 삭제한 것으로 파악되며, 이는 새로운 감지 회피 방법이 될 가능성이 높다고 판단된다.

중소 사이트들이 악성 링크에 감염된 사실을 자체적으로 감지하기는 힘들며, KISA와 같은 기관이나 빛스캔과 같은 웹보안 업체에서 감지해 해당 사이트에 전달되기까지는 상당한 시간이 걸린다. 이번 공격자는 정체가 이런 절차상 걸리는 시간동안만 악성코드를 유포지로 활용하고 정체가 노출되기 전에 스스로 링크를 삭제하는, 이른바 치고 빠지기 공격 방식을 택한 것으로 보인다.

공격자가 단시간에 걸쳐 유포하고 스스로 삭제하고 나가는 경우 유포지로 활용된 웹 사이트는 감염 사실조차 인지하지 못할 공산이 크기 때문에 향후에도 다시 활용할 수 있다는 위험성에 노출된다.

빛스캔 전상훈 CTO는 "이는 탐지 회피를 위한 공격자의 시도가 계속되고 있다는 것을 의미한다"며, "한번 이용당한 웹사이트들은 웹로그 및 시스템 로그를 바탕으로 침입에 대응하지 않는 한 지속적으로 공격을 당할 것"이라고 전했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.