매월 전세계 보안 위협 동향을 심도있게 분석, 발표하고 있는 시만텍(www.symantec.co.kr)이 ‘시만텍 인텔리전스 리포트(Symantec Intelligence Report)’ 7월호를 통해 2012년 상반기 웹 공격용 툴킷(Web Attack Toolkits) 동향을 분석, 발표했다.
 
공격용 툴킷은 네트워크로 연결된 컴퓨터를 공격하기 위해 사용되는 악성 프로그램 개발 툴로, 대다수 악성 코드와 마찬가지로 보통 민감한 정보를 빼내거나 사용자 컴퓨터를 봇에 감염시켜 좀비PC로 만든 후 추가 공격을 감행하기 위해 사용된다.
 
크라임웨어(Crimeware)로도 불리는 공격용 툴킷은 보통 보안 취약점을 이용하도록 미리 프로그램된 악성 코드와 명령제어(C&C) 서버 관리 툴 등 다양한 툴로 구성되어 원하는 형태로 공격을 감행하거나 공격을 자동화할 수 있다. 특히 사이버 범죄에 대한 전문지식이 부족한 기존의 범죄자들도 손쉽게 웹 공격용 툴킷을 구할 수 있고, 사용법이 간편할 뿐만 아니라 범죄에 이용할 경우 수익성 또한 높기 때문에 다양한 사이버 범죄에 악용되고 있는 상황이다.
 
◇공격용 툴킷 이용한 웹 공격 증가세
지난 5월 발표된 시만텍 ‘인터넷 보안 위협 보고서 제17호’에 따르면 2011년 발생한 악성 웹사이트 기반 위협 활동의 약 3분의 2가 웹 공격용 툴킷에 의한 것이었으며, 지속적으로 증가할 것으로 전망한 바 있다. 실제 2011년 하반기 시만텍 센서가 수집한 하루 평균 툴킷 공격 건수와 2012년 상반기 수치를 비교한 결과 매일 발생하는 툴킷 공격 건수가 명백한 증가세를 보였다. 2012년 7월 수집한 데이터를 기준으로 현재 웹 공격 발생 건수는 2011년 하반기에 비해 3배 이상 많다.
 
공격용 툴킷은 주로 지하경제(Underground economy) 시장을 통해 거래되는데, 다양한 보안 취약점을 모듈 형태로 구매해 이용할 수 있다. 예를 들어 공격자는 지하경제 시장에서 저렴하게 공격용 툴킷 프레임워크를 구매한 후 써드파티 브라우저 플러그인 취약점을 포함한 다양한 취약점 스크립트를 별도로 구입해 공격 성공률을 높일 수 있다.
 
하지만 이 같은 툴킷 이용방식에 변화의 움직임이 감지되고 있다. 과거에는 공격용 툴킷이 완전한 풀 버전 형태로 판매되어 구매자는 원하는 데로 설치 및 실행할 수 있었고, 일단 공격용 툴킷이 판매되면 결국 소스 코드가 지하 포럼을 통해 무료로 배포되곤 했다. 대표적인 예가 ‘블랙홀 툴킷’으로, 2011년 초까지만 해도 지하 해커 포럼에서 ‘블랙홀 툴킷’ 무료 버전을 구할 수 있었다. 이에 따라 공격용 툴킷 개발자들은 소스 코드 저작권을 보호하고 신규 비즈니스를 창출하기 위해 빌려쓰는 SaaS(Software-as-a-Service) 가입기반 형태로 툴킷을 제공하기 시작했다.
 
◇써드파티 브라우저 플러그인 취약점 악용 늘어
현재 다양한 공격용 툴킷이 거래되고 있는데, ‘블랙홀(Blackhole)’, ‘피닉스(Phoenix)’, ‘뉴클리어 팩(Nuclear Pack)’, ‘블리딩 라이프(Bleeding Life)’, ‘엘리노어(Eleonore)’ 등이 대표적이다. 각 툴킷마다 약간의 차이는 있지만 대부분 거의 동일한 방식으로 실행된다.
 
공격용 툴킷은 주로 어도비 리더, 어도비 플래시 플레이어, 자바 등 써드파티 브라우저 플러그인의 취약점을 이용하는데 초점을 맞춘다. 이러한 공격용 툴킷에 이용되는 취약점들은 대부분 보안 업데이트가 배포되어 있지만 이를 적용하지 않은 시스템이 많기 때문에 지속적으로 공격에 이용되고 있다. 즉, 공격용 툴킷은 일반적으로 구 버전의 소프트웨어를 기반으로 공격하며, 필요할 때만 신규 취약점을 이용한다.
 
이러한 취약점은 플랫폼에 독립적인 경우가 많고 대다수 툴킷은 윈도우와 맥 컴퓨터 모두를 공격대상으로 삼는다. 예를 들어, 대표적인 공격용 툴킷인 ‘블랙홀’은 지난 4월 60만대의 맥 컴퓨터를 감염시킨 자바 취약점 CVE-2012-1723을 이용한 것으로 분석되었다.
 
◇사회 공학적 기법 접목해 공격 성공률 극대화
대다수 공격용 툴킷의 최신 관리자 제어판은 심지어 공격자들이 어떤 취약점이 가장 성공적이었고 어떤 브라우저와 OS에 대한 공격이 성공적으로 이루어졌는지 추적 및 분석해 향후 맞춤형 공격을 시도하거나 공격 횟수를 유지 또는 증가시키기 위해 새로운 분야에 투자할 수 있는 기회를 제공한다.
 
공격자들은 일반적으로 스팸 메일, 소셜 네트워킹 공격 등 사회 공학적 기법을 사용해 웹 공격 툴킷에 대해 별다른 의심을 하지 않는 사용자를 유인한다. 이 경우 적법한 웹사이트이지만 공격자의 웹 공격 툴킷이 이미 설치되어 있는 웹사이트에 대한 링크가 포함되어 있다.
 
예를 들어 최근 발생한 지능적인 스팸 공격의 배후에는 많은 공격자들이 애용하는 ‘블랙홀’이 있었다. 공격자들은 송금 실패, 뉴욕시 교통위반 딱지 등으로 위장한 스팸 메일이나 수신자가 유명 소셜 네트워킹 사이트에 올려진 사진에 태그되었다는 내용의 허위 메일을 전송했다. 공격의 시발점이 될 수 있는 악성 링크에 대한 사용자의 클릭을 유도하기 위해서이다.
 
만약 사용자가 이러한 악성 링크를 클릭하면 툴킷은 브라우저 종류와 버전, OS, 설치된 플러그인과 그 버전, 컴퓨터가 위치한 국가 등 피해자 컴퓨터에 관한 모든 정보를 수집하게 된다. 이후 툴킷은 어떤 취약점이 존재하는지 파악한 후 해당 취약점을 이용한 공격을 시도한다. 만약 공격이 성공하면 백도어 트로이목마, 가짜 백신 애플리케이션과 같은 공격 무기를 피해자의 컴퓨터에 다운로드 시킨다.
 
웹 공격용 툴킷을 이야기할 때 웹 서버를 빼놓을 수 없다. 공격용 호스팅 서버로 자주 사용되는 웹 서버는 공격자가 소유하고 있지 않고 대신 소프트웨어를 최신 상태로 유지하고 있지 않은 개인 또는 소기업의 웹사이트를 호스팅하는 서버를 이용한다. 공격자들은 대부분 이전에 감염시킨 웹 서버 깊숙히 공격용 툴킷을 설치한다. 심지어 공격용 툴킷을 구성하는 악성 페이지는 대부분 웹사이트 메인 페이지에서 바로 접근할 수 없다. 이 때문에 웹사이트 소유자나 웹 서버는 공격자가 자신의 시스템에 공격용 툴킷을 설치했다는 사실조차 모르기 십상이다.
 
시만텍코리아 윤광택 이사는 “과거 해커들은 무에서 유를 창조하듯 사이버 공격 기법을 스스로 개발해야 했지만 오늘날의 공격용 툴킷은 프로그래밍 지식이 없는 초보자들조차 손쉽게 사이버 공격을 감행할 수 있도록 해준다”며, “최근에는 공격용 툴킷이 플러그인 취약점 이용이나 심지어 SaaS 모델로 옮겨가면서 기업 및 개인 사용자들이 피해를 입을 확률이 더 높아진 만큼 소중한 디지털 자산을 지켜내기 위한 기업과 사용자들의 보안 인식 강화가 그 어느 때보다 절실하다”고 강조했다.
 
한편, 시만텍은 매월 ‘시만텍 인텔리전스 리포트’를 통해 전세계 보안 위협 동향을 발표함으로써 전세계 기업 및 개인 사용자들이 다양한 웹 기반 공격, 악성 코드 활동, 피싱 및 스팸 트렌드에 대한 최신 정보를 통해 효과적으로 시스템을 보호할 수 있도록 돕고 있다.
 
전세계 보안 위협 동향과 통계를 비롯해 각 지역 및 산업별로 자세한 분석 정보를 제공하고 있는  ‘시만텍 인텔리전스 리포트(Symantec Intelligence Report)’의 2012년 7월호 전문은 www.symanteccloud.com/mlireport/SYMCINT_2012_07_July.pdf에서 다운로드 받을 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com