2024-04-27 04:05 (토)
8.15 광복절 앞두고 워터링홀 공격 발생!
상태바
8.15 광복절 앞두고 워터링홀 공격 발생!
  • 호애진
  • 승인 2013.08.14 20:12
이 기사를 공유합니다
해외 및 국내 동아시아연구원, 성우회에 공격 감행
8.15 광복절을 앞두고, 사이버 공간에서 심상치 않은 움직임이 감지되고 있다. 일본 극우조직과 국내 관련 단체간의 DDoS 공격이나 해킹 등의 사고가 과거 여러 번 발생했으며, 올해도 발생할 가능성이 높다.
 
하지만 이렇게 대중적인 공격 외에도 특정한 대상을 노린 표적 공격이 국내뿐만 아니라 해외서도 거의 동시에 발생한 정황이 포착됐다. 이는 특정한 의도를 가진 사용자가 방문하는 사이트만을 대상으로 하는 워터링홀 공격이다.
 
이러한 공격의 경우, 컴퓨터에 최신 보안패치나 성능이 검증된 백신으로 보호하지 못한 사용자는 악성코드에 감염될 가능성이 높으며, 더욱이 사용자의 모든 행위가 공격자에게 넘어가게 되면 심각한 문제로 이어질 수 있다.
 
이를 처음 발견한 빛스캔(대표 문일준)에 따르면, 1차 공격은 해외에서 발생한 것으로 8월 12일 22시경 국내 사이트를 해킹해서 악성코드를 삽입 시키고, 이를 외국 사이트인 위구르사이트(www.uyghurweb.net/xx/xxx.xx) 내에 다시 삽입시켜 놓은 것으로 파악됐다.

<위그루 웹사이트에 국내 사이트를 이용해 악성링크가 삽입된 정황>
 
특이한 점은 국내 웹사이트를 해킹해서 악성코드를 삽입시키고, 이를 특정 외국 웹사이트 내에 다시 삽입시켜 유포했다는 점이다.

< 위그루 웹사이트 내에 비정상링크가 Iframe으로 삽입된 정황>
 
해당 웹사이트에서 내려오는 악성코드에서 사용된 취약점은 8개(3544-0507-1723-4681-5076-1889-0422-0634)로 Java 6종, IE 1종, Flash 1종이 사용됐으며, 최종 다운로드 된 바이너리는 calc.exe다. 추가로 접속된 곳은 www.jessearch.com이며, 이는 C&C 연결 주소로 추정된다.
 
2차 공격은 국내 2개의 웹사이트를 대상으로 진행됐다. 8월 13일 정오 경 동일한 악성링크를 이용해 특정 국내 웹사이트인 동아시아연구원(eai.co.kr)과 성우회(starflag.or.kr)에 대한 공격이 확인됐다.

 < 동아시아연구원 웹사이트 내에 악성링크가 삽입된 정황> 
 
< 성우회 웹사이트 내에 악성링크가 삽입된 정황>
 
두 웹사이트에 대한 공격의 공통점은 다음과 같다.
ㆍ 거의 같은 시간대에 공격 발생
ㆍ 공격에 활용된 취약점은 자바(CVE-2013-0422)
ㆍ 중간 유포지로 국내 사이트인 hotel365.co.kr 활용
ㆍ 최종 바이너리는 kr0812.exe, 분석 결과 키로거 기능 보유
 
특히 추가 분석을 통해 분석된 C&C 연결 주소는 홍콩 IP로 연결되며, 이 경우 SSL로 암호화 한 통신을 하는 것이 확인됐다. SSL로 연결하는 트래픽의 경우 IDS/PS 장비로 분석이 불가능하므로 실제적인 대응이 어려울 수 밖에 없으며, 해결방안으로는 경유지 등 URL을 최대한 빨리 차단하는 방법이 최선이다
 
또한 삽입된 악성링크를 보면, 해외 사례와 국내 사례 모두 hotel365.co.kr 웹사이트의 하위 링크를 사용하는 것으로 보아 동일한 공격자의 소행으로 추정이 가능하다.
 
중국과의 분쟁이 있는 위구르 사이트에 대한 공격과 국내 사이트를 대상으로 한 공격이 동일 도메인을 이용해 거의 동시에 발견된 것으로 볼 때 공격집단에 대한 예상도 달라져야 할 것으로 보인다.
 
민감한 정보의 수집과 특정 대상에 대한 공격은 불특정 국가나 조직이 실행할 수 있으며, 탐지된 공격의 경우는 중국내의 조직에서 실행됐을 가능성이 높다. 위구르족에 대한 타깃화된 악성코드 감염 사례가 그 반증이라 할 수 있다. 국경 없는 정보의 수집과 공격은 여전히 진행 중인 것이다.
 
문일준 빛스캔 대표는 “현재 웹으로 공격되는 악성코드의 대부분은 다양한 공격목표를 지니고 있다”며, “실제 공격자의 의도에 따라 목표가 달라지고, 피해 범위 또한 확대 될 수 있는 상황이다. 이번 워터링 홀 공격도 마찬가지”라고 밝혔다.
 
이어 그는 “모든 방문자를 대상으로 하던지, 특정 방문자를 대상으로 하던지 이에 관계없이 감염의 효과를 줄일 수 있도록 꾸준히 노력을 기울여야 한다”면서, “감염 매개체로 이용되는 웹 서비스의 취약성을 꾸준히 개선해야만 추가적인 사고들을 예방할 수 있을 것”이라고 덧붙였다.
 
한편, 빛스캔은 매일 150만개의 국내 웹 서버의 취약점을 분석하고 있는 웹 보안 업체로, 하나의 웹 서버의 하부 디렉터리까지 1억 8천만 건을 분석해 악성코드가 유입되는 악성링크(Malware Link)를 분석하는 PDCS(Pre Crime Detection System) 솔루션을 가지고 있다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com
 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
호애진
호애진 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트