안보 관련 협회, 안보매체, 방문자 대상 악성코드 감염 공격
주중 공격 지속 및 원격 조정되는 백도어 유형 유포 계속
키리졸브 훈련과 관련 남·북간 군사적 충돌이 우려되는 가운데 사이버 보안 분야에서도 경계를 높이고 있는 상황이다.주중 공격 지속 및 원격 조정되는 백도어 유형 유포 계속
한편 안보 관련 매체 및 모임에 대한 웹서비스 변조 후 접속자 악성코드 감염 시도가 발견돼 주의가 요구된다. 두 사이트 모두 악성링크는 러시아 도메인을 이용했으며 기존 자동화된 공격팩과는 다른 형태를 사용하고 있었다는 것이 빛스캔(대표 문일준) PCDS(Pre Crime Detect Satellite) 시스템에 의해 포착됐다.
빛스캔 관계자는 “국내 안보관련 모임과 매체 웹서비스를 공격해 소스코드를 변경함으로써 해당 서비스의 모든 방문자를 대상으로 악성코드 유포가 이루어지고 있다”고 주의를 당부했다. 자동 실행된 악성링크의 내용은 아래와 같은 .ru (러시아)도메인이 사용되었다.
-xxx.ru:8080/forum/links/news.php - 안보매체 웹서비스에 추가된 악성링크
-xxx.ru/new/dvd/h/hwpjava.html – 안보관련 모임 웹서비스에 추가된 악성링크
-xxx.ru/new/dvd/h/hwp.html –안보관련 모임 웹서비스에 추가된 악성링크
<안보매체를 통해 실행된 악성링크의 내용–난독화된 상태>
또 “방문자 PC의 다중 취약성을 공격해 특정 악성코드들을 설치하는 형태이며, 방문자 PC를 공격하는데 사용된 도구들은 BlackHole Exploit Kit과 유사함을 가지고 있으나 보다 정교하게 작성된 것”이라고 설명했다.
안보관련매체의 경우 2012년 2월에 최초로 공격자에 의해 악성링크가 추가된 사례가 있으며, 이후 1년 이상을 공격하지 않았다. 2013년 3월 들어 현재 4차례에 걸쳐 방문자를 대상으로 한 악성코드 감염시도가 발견되었으며, 모두 .ru 도메인을 이용한 시도로 확인된 것이다.
안보관련 모임의 경우 2012년 7월이 마지막 공격기록으로 PCDS상에 남아 있으나 이번 발생된 공격은 올해 들어 처음 발생 되었으며, 시점이 남북 긴장이 고조된 시기인 3.12일에 발견되었다. 두 사건 모두 관련 기관에 정보를 전달해 현재는 처리된 상태다.
빛스캔 관계자는 “남.북간의 긴장이 격화됨에 따라 PCDS의 관찰 결과에서 특정 대상을 한정한 악성코드 유포 시도도 발견이 되고 있으며 특정 목적에 적극 이용 될 수 있는 유형의 동일 악성코드들이 대량으로 유포되고 있는 상황”이라며 “현재도 악성코드 감염은 계속 되고 있으며, 실제로 드러나는 공격인 3.4 DDoS , 7.7 DDoS와 같은 사건이 발생될 수 있는 조건은 이미 완성이 된 상태로 보여진다”고 진단했다.
한편 최근 공격동향에 대해서도 언급했다. “3월 10일까지의 관찰 결과도 방문자가 많은 서비스를 대상으로 4~5종의 악성코드들을 대량 감염시킨 정황이 발견되어 주의가 필요한 상태이다. 또한 2011년부터의 관찰 결과를 보면 주중 악성코드 유포는 일상적이지 않았으나 3.11일부터 현재까지 지속해서 몇몇 유형의 악성코드들을 감염시키는 유형이 계속 발견 되고 있는 상황”이라는 것.
백도어와 트로이목마 같은 원격조정이 되는 악성코드들이 백신탐지를 우회해 다수 배포되는 상황이 주중에 발견된 상황이라 향후 높은 수준의 관찰이 필요한 상황이라고 전한다.
빛스캔 문일준 대표는 “목적을 가지고 배포되고 있다고 의심할 수 밖에 없는 특정 악성파일들의 유포는 또 다른 사건 사고로 이어질 수 있음을 잊지 말아야 한다. 7.7 DDoS와 3.4 DDoS 사건에서 보듯 실제 사건이 발생되기 이전에는 전혀 징후를 알 수 없었으나 모든 사건에는 대량으로 유포된 동일 형태의 악성코드가 기본이 됨은 분명한 사실”이라며 “동일한 악성코드에 감염되어 동시에 원격에서 조정이 되는 상태를 유지하고 있는 다수의 좀비PC들이 있는 상태에서 사건/사고가 발생된 이후 대응이 된다면 피해는 이미 발생된 것이다. 피해를 줄이는 것도 중요한 부분이나, 사전에 위험요소들을 인지하고 대비할 수 있다면 초기에 발생될 피해를 대폭 줄일 수 있을 것”이라고 강조했다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
안보관련매체의 경우 2012년 2월에 최초로 공격자에 의해 악성링크가 추가된 사례가 있으며, 이후 1년 이상을 공격하지 않았다. 2013년 3월 들어 현재 4차례에 걸쳐 방문자를 대상으로 한 악성코드 감염시도가 발견되었으며, 모두 .ru 도메인을 이용한 시도로 확인된 것이다.
안보관련 모임의 경우 2012년 7월이 마지막 공격기록으로 PCDS상에 남아 있으나 이번 발생된 공격은 올해 들어 처음 발생 되었으며, 시점이 남북 긴장이 고조된 시기인 3.12일에 발견되었다. 두 사건 모두 관련 기관에 정보를 전달해 현재는 처리된 상태다.
빛스캔 관계자는 “남.북간의 긴장이 격화됨에 따라 PCDS의 관찰 결과에서 특정 대상을 한정한 악성코드 유포 시도도 발견이 되고 있으며 특정 목적에 적극 이용 될 수 있는 유형의 동일 악성코드들이 대량으로 유포되고 있는 상황”이라며 “현재도 악성코드 감염은 계속 되고 있으며, 실제로 드러나는 공격인 3.4 DDoS , 7.7 DDoS와 같은 사건이 발생될 수 있는 조건은 이미 완성이 된 상태로 보여진다”고 진단했다.
한편 최근 공격동향에 대해서도 언급했다. “3월 10일까지의 관찰 결과도 방문자가 많은 서비스를 대상으로 4~5종의 악성코드들을 대량 감염시킨 정황이 발견되어 주의가 필요한 상태이다. 또한 2011년부터의 관찰 결과를 보면 주중 악성코드 유포는 일상적이지 않았으나 3.11일부터 현재까지 지속해서 몇몇 유형의 악성코드들을 감염시키는 유형이 계속 발견 되고 있는 상황”이라는 것.
백도어와 트로이목마 같은 원격조정이 되는 악성코드들이 백신탐지를 우회해 다수 배포되는 상황이 주중에 발견된 상황이라 향후 높은 수준의 관찰이 필요한 상황이라고 전한다.
빛스캔 문일준 대표는 “목적을 가지고 배포되고 있다고 의심할 수 밖에 없는 특정 악성파일들의 유포는 또 다른 사건 사고로 이어질 수 있음을 잊지 말아야 한다. 7.7 DDoS와 3.4 DDoS 사건에서 보듯 실제 사건이 발생되기 이전에는 전혀 징후를 알 수 없었으나 모든 사건에는 대량으로 유포된 동일 형태의 악성코드가 기본이 됨은 분명한 사실”이라며 “동일한 악성코드에 감염되어 동시에 원격에서 조정이 되는 상태를 유지하고 있는 다수의 좀비PC들이 있는 상태에서 사건/사고가 발생된 이후 대응이 된다면 피해는 이미 발생된 것이다. 피해를 줄이는 것도 중요한 부분이나, 사전에 위험요소들을 인지하고 대비할 수 있다면 초기에 발생될 피해를 대폭 줄일 수 있을 것”이라고 강조했다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
