특정 대상들만 방문하는 사이트를 대상으로 한 악성코드 감염 시도를 워터링홀(Watering Hall) 공격이라 부른다. 일반인들이 수시로 방문하는 사이트가 아니라 특정 계층이나 관련된 인사들만이 접근하는 사이트를 대상으로 악성코드 감염을 유도하도록 하는 공격을 말한다. 한편 얼마전 국내 안보관련 연구소 사이트를 대상으로 워터링홀 공격이 있었다는 것이 확인돼 주의가 요구된다.

 
빛스캔 관계자는 “지난 5월 16일 국내 안보 관련 주요 연구소를 대상으로 한 표적공격이 발견되었다”며 “안보관련 주요 연구소 웹사이트는 일반인의 방문이 거의 없고 업무 관계자들만 주로 접속하는 사이트이기 때문에 감염 대상을 한정했다는 점에서 워터링홀 공격으로 볼 수 있다. 현재 발견된 안보관련 공격대상 서비스는 군사문제, 안보문제, 전략문제, 해양전략 관련 연구소 등 총 4곳으로 확인됐다”고 전했다.
 
한편 “더욱이 위험한 점은 공격자들이 이미 네 곳의 웹서비스에 대해 모든 권한을 가진 상태에서 웹서비스의 소스를 변경해 악성링크를 모든 방문자들에게 자동으로 실행하도록 구성했다는 점이다. 웹 서비스의 화면을 변경 하는 것이 아니라 대상을 한정한 악성코드를 감염시키기 위한 목적으로 이용됐다는 점이 위험성을 더하고 있다”고 주의를 당부했다.
 
현재 이들 안보관련 연구소들과 대만에 위치한 악성링크에 대해서는 차단이 완료되고 추가 대응조치가 진행 중에 있다.
 
빛스캔 관계자는 “국내 주요기관을 대상으로 한 이메일 첨부형 APT 공격 이외에도 워터링홀과 같이 방문자가 한정된 서비스를 대상으로 해 감염시키는 표적형 감염 공격이 심각한 상황”이라며 “또한 탐지 회피를 위해 사전에 악성링크를 만들어 두고 공격 시점에만 공격코드를 추가하는 형태와 같은 지능적 공격 및 단축 URL을 이용한 탐지회피 시도가 발견되고 있어 관리자와 이용자의 각별한 주의가 필요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com