파이어아이(지사장 전수홍)가 국내 뉴스 사이트를 통해 공다 익스플로잇 킷(GonDa Exploit Kit)이 유포된 정황을 포착했다고 밝혔다.
 
공다 익스플로잇 킷은 지난 2014년부터 성행한 비교적 오래된 익스플로잇 킷으로 익스플로잇를 이용해 취약한 엔드포인트를 감염시키고 타깃 시스템에 유해한 악성코드를 설치하는 익스플로잇 킷이다.
 
파이어아이가 조사한 결과에 따르면 공다 익스플로잇 킷의 공격 패턴은 이전의 탐지된 패턴들과 다르지 않았다. 공다 익스플로잇 킷에 의해 변조된 사이트는 악의적인JS 파일이 삽입되어 있으며 익스플로잇 킷의 랜딩페이지로 방문자를 유인한다. 실제로 다수의 국내 뉴스 사이트들은 공다 익스플로잇 킷의 랜딩페이지로 리다이렉션 시키는 악성 JS파일이 삽입되어 있었으며 이 랜딩 페이지는 타깃 시스템에 적합한 익스플로잇을 선택한다.

 
파이어아이에 따르면 공다 익스플로잇 킷은 지속적으로 중국 ISP 업체인 차이나 텔레콤(China Telecom)의 네트워크 AS4134가 호스팅하는 인프라를 이용하고 있었다. 또한, 해당 익스플로잇 킷이 익스플로잇 킷 트래픽 및 감염 통계 조사를 위해 이용한 스탯카운터(stat counter)를 추적한 결과 다수의 공격이 차이나 텔레콤이 호스팅하는 중국의 웹 트래픽 서비스를 이용했다. 파이어아이는 공다 익스플로잇 킷이 공격에 이용한 인프라와 공격 역량 등을 미루어 해당 익스플로잇 킷이 중국에서 기원한 것이라고 추정한다고 전했다.
 
파이어아이 코리아 전수홍 지사장은 “공다 익스플로잇 킷을 이용한 공격은 새로운 유형의 공격은 아니며 오히려 아태지역에서는 비교적 흔한 공격 수법이다. 이미 패치된 취약점과 알려진 익스플로잇 킷을 이용한 공격이 국내에서 아직 효력을 발휘하고 있다는 것은 국내 뉴스 사이트를 비롯한 많은 조직이 체계적인 사이버 방어 시스템을 갖추지 못했다는 것”이라며, “보안 패치에 대한 지속적인 관심과 사이버 방어 시스템을 구축하는 것이 시급하다”고 말했다.
 
공다 익스플로잇 킷에 대한 보다 자세한 정보는 파이어아이 공식 블로그에서 확인할 수 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com