지난 해 초부터 확인되지 않은 공격 그룹이 웹 분석 오픈 소스 툴인 ‘위치코븐(WITCHCOVEN)’을 이용해 특정 타깃 인터넷 사용자의 컴퓨터 및 브라우저 정보를 추적, 수집한 정황이 포착됐다.
 
이 공격에 대해 분석해 온 파이어아이(지사장 전수홍)는 이것이 국가의 후원을 받는 공격 그룹에 의한 소행일 것이라고 추측했으며, 타깃에 대한 정보 수집 후 보다 정교한 공격 수단을 이용해 공격 성공률을 높일 수 있다는 점에서 위협적이라고 전했다.

 
공격 그룹은 합법적인 홈페이지의 HTML 코드를 변형시켜 사용자가 해당 웹사이트에 방문하면 프로파일링 스트립트, 즉, ‘위치코븐’ 스트립트가 호스팅되는 웹사이트로 리다이렉트 하는 워터링홀 수법을 이용했다. 파이어아이는 현재 감염된 웹사이트가 100개 이상인 것으로 추정하고 있다.
 
위치코븐은 사용자 모르게 백그라운드에서 실행돼 방문자의 컴퓨터 및 브라우저 정보를 파악한 뒤 지속적으로 사용자 정보를 트래킹하는 ‘슈퍼쿠키(Supercookie)’라는 웹툴을 사용자 컴퓨터에 심었다. 슈퍼쿠키는 사용자 컴퓨터 내 여러 개의 스토리지에 쿠키를 생성하고, 삭제된 쿠키를 재생성 해 지속성을 확보하는 오픈소스 웹툴이다. 파이어아이는 이달 초, 총 14개의 웹사이트가 위치코븐 스크립트를 호스팅하고 있는 것을 탐지했다.

 
공격 그룹은 프로파일링 활동을 통해 IP주소, 브라우저 타입 및 버전, 브라우저 언어 설정, 사이트 방문 기록 등의 정보를 수집할 수 있다. 또한, 이를 통해 특정 타깃에 최적화된 공격 수단을 선택할 수 있다. 예를 들어, 사용자가 구 버전의 SW를 사용하는 경우, 해당 SW의 취약점을 이용한 공격을 행하는 것이다. 실제로, 중국 기반의 지능형 공격 그룹인 APT3의 경우 플래시 제로데이 취약점 공격 이전에 프로파일링 스크립트를 이용했으며, 러시아 기반 그룹인 APT28도 역시 비슷한 정황이 발견된 바 있다.
 
또한, 감염된 웹사이트들은 일정한 패턴을 가지고 있어 무작위로 감염된 것이 아니라 공격 대상을 선택해 진행하는 것으로 추측된다. 파이어아이는 감염된 웹사이트를 분석한 결과, 공격 그룹이 미국과 유럽에 있는 기업인, 외교관, 정부 관료, 군 인사에 관심이 있으며, 비자 서비스를 제공하는 회사와 미국의 특정 대사관이 포함돼 있다고 밝혔다. 이를 미루어볼 때, 공격 그룹은 미국 정부 관료 혹은 러시아, 중동 및 아프리카를 여행하는 기업인을 타깃하고 있는 것으로 추측된다.
 
파이어아이는 공격의 범위, 공격의 타깃, 공격의 보안 수준을 기준으로 분석한 결과, 이번 정황이 미래의 사이버 공격을 위해 사전 정보를 수집하는 정부 지원 공격 그룹의 소행이라고 추측한다고 전했다. 우선 전 세계에 걸쳐 정보를 수집하는 등 공격 범위가 넓고, 사용자 모르게 스크립트를 실행해 높은 수준의 보안을 유지하며, 특정 대상을 타깃해 일정한 패턴 하에 웹사이트를 감염시키는 것이 그 근거다.
 
파이어아이의 전수홍 지사장은 “웹 분석 툴은 기존에도 마케팅 회사들이 고객들의 구매 패턴을 파악하고 사이트를 사용자의 브라우저에 최적화하는데 쓰였던 기술이다. 이번 발견을 통해 해당 기술이 보다 정교한 사이버 공격에 이용될 수 있다는 사실이 밝혀진 것”이라며 “웹 분석 툴을 이용한 공격은 공격 대상의 컴퓨터 환경을 파악해 공격의 성공률을 높일 수 있다는 점에서 위협적”이라고 설명했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com