국내 대형 언론사 사이트에 접속하는 접속자들의 금융정보가 심각한 보안위협에 노출되고 있다. 수많은 이용자들이 파밍 악성코드에 감염돼 피해를 입을 수 있는 정황이 포착됐다.
 
파이어아이(지사장 전수홍) 측은, 국내 대형 언론사 웹사이트에 온라인 광고를 제공하는 외주 광고 업체의 서버가 공다 익스플로잇 킷(GongDa Exploit Kit)에 의해 악용됐다고 밝혔다. 파이어아이에 따르면, 해당 사이버 공격은 웹사이트 방문자의 금융 정보 탈취를 목적으로 파밍 악성코드를 이용했으며, 이로 인해 수 천명의 금융 정보가 노출 위협에 휩싸였다고 전했다.

 
공다 익스플로잇 킷을 이용한 이번 공격은 인터넷 광고를 통해 악성 코드 배포하는 전형적인 멀버타이징(Malvertising) 방식을 이용했다. 실제로 외주 광고 업체가 국내 언론사 웹사이트에 제공하는 광고 HTML에는 악의적인 아이프레임(iframe) 스크립트가 삽입되어 있었으며, 이는 웹사이트 방문자를 공다 익스플로잇 킷의 랜딩페이지로 유인한다.
 
공격이 성공적으로 이루어지면 피해자의 컴퓨터에 프록시 자동구성(PAC) 설정을 변경하여 피싱사이트 접속을 유도하는 악성코드인 블랙문(BlackMoon)을 다운받는다. 블랙문은 금융 트로이목마 악성코드로 피해자의 인터넷 뱅킹 계정 혹은 OTP와 비밀번호와 같은 금융 정보를 탈취한다. 파이어아이에 따르면, 현재 감염된 언론사 웹사이트를 방문한 수 천명의 방문자들이 블랙문 악성코드에 의해 금융 정보 노출 위협에 처했다고 전했다.
 
한편, 공다 익스플로잇 킷은 한국을 집중적으로 타깃하는 익스플로잇 킷으로, 파이어아이는 2016년 1월부터 4월 말까지 공다 익스플로잇 킷에 노출된 사용자의 국가별 분포를 조사한 결과, 90% 가량이 국내에 집중돼있었다고 밝혔다. 공다 익스플로잇 킷은 기존에 자바, 인터넷익스플로러, 플래시 취약점을 주로 이용하는데, 이번 공격에서는 앵글러 익스플로잇 킷(Angler Exploit Kit)의 취약점 일부를 복사해서 사용했다는 점에서 주목할 만 하다.
 
파이어아이는 공다 익스플로잇 킷을 이용한 국내 사이버 공격의 배후에 중국 기반 사이버 그룹이 있다고 추정하고 있다. 해당 조직은 주로 경제적 이익을 목적으로 하고 있으며, 지속적으로 공격 수단과 소셜 엔지니어링 기법을 발전시켜 나가고 있다. 파이어아이는 해당 조직이 국내 사용자를 대상으로 공다 익스플로잇 킷을 이용한 사이버 위협을 지속할 것이라고 예상하고 있다.
 
파이어아이 연구원들은 “외주 광고 업체를 경유한 이번 공격 사례에서도 알 수 있듯이, 기업의 보안을 강화하더라도 외주 업체 등 협력사의 취약한 보안을 통해 사이버 공격은 지속될 수 있다. 내부적인 보안뿐 아니라 협업하고 있는 외부 업체가 적절한 보안 체계를 갖추고 있는지 확인해야 한다”고 전하며, “공다 익스플로잇 킷이 국내 기관 및 사용자를 지속적으로 타깃하고 있는 만큼, 이를 효과적으로 탐지하고 대응할 수 있는 행위 분석 기반의 보안 솔루션이 필요한 시점”이라고 말했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com