악성코드 ‘넷트레블러(NetTraveler)’가 공격을 재개한 것으로 보인다. 긴밀한 데이터를 훔치는 것은 물론 파일 시스템 목록, PDF 문서 등을 검색하도록 설계된 이 악성코드는 지난 8년간 40개 국가에서 그 피해가 확인됐으며, 350여개의 보안 사고를 일으킨 주범이기도 하다. 공격을 가장 많이 받은 국가는 몽골과 러시아, 인도였으며, 한국 역시 상위 8위를 기록한 바 있다.

 
최근 이 악성코드의 활동을 포착한 카스퍼스키랩에 따르면, 공격 방식에 변화가 있는 것으로 확인됐다. 정부나 정부기관, 대사관, 군사청부기업, 석유회사, 과학 연구기관 등을 타깃으로 하는 것은 동일하지만, 기존 스피어 피싱 공격에 이어 워터링홀 공격을 감행하고 있는 것.
 
올해 초만 해도 공격자들은 특정 집단 혹은 특정인을 타깃으로 한 스피어 피싱 공격을 가했다.  내부 정보를 훔치기 위한 목적의 일환으로 사회공학적 기법을 이용해 이메일에 첨부된 악성 파일을 클릭하도록 유도했지만, 이제는 악성코드가 심어진 웹사이트를 방문하도록 하거나 특정 웹사이트에 악성 자바스크립트를 심어 해당 웹사이트로 리다이렉트 되도록 하고 있다. 이른바 워터링홀 공격이다.
 
카스퍼스키랩의 선임 연구원인 코스틴 라이우(Costin Raiu)는 “넷트레블러 공격이 대중에게 알려진 직후 공격자는 알려진 모든 C&C 서버를 폐쇄하고, 이를 중국과 홍콩, 대만에 있는 새로운 서버로 옮겼다”며, “하지만 공격을 계속 이어갔다”고 밝혔다.
 
최근 일어난 공격의 타깃은 위구르 운동가들이다. 지난 주, 수많은 스피어 피싱 메일들이 발견됐는데, 세계위구르회의(World Uyghur Congress)가 최근 발생한 대학살에 대해 성명서를 발표했다며 링크를 클릭하도록 유도했다.
 
이에 사용자가 링크를 클릭하면, 넷트레블러와 관련된 도메인으로 연결되며 여기에서 자바 취약점(CVE-2013-2465)이 이용된다. 해당 취약점은 패치가 됐지만, 업데이트가 되지 않은 사용자 PC를 통해 감염이 이뤄지며, 이 때 설치된 백도어를 통해 악성코드는 정보를 수집하고 기존에 알려지지 않은 C&C 서버로 수집된 정보를 전송한다.
 
또 다른 방법으로 공격자들은 위구르 관련 공식 웹사이트를 공격했다. 해당 웹사이트를 감염시켜 앞서 언급한 넷트레블러와 관련된 도메인으로 리다이렉트 되도록 한 것으로, 자바 취약점을 이용해 워터링홀 공격을 감행한 것은 넷트레블러의 새롭게 바뀐 공격 방식이라고 할 수 있다.
 
다만, 아직까지는 공격에 제로데이 취약점이 이용된 사례는 보고되지 않았다. 따라서 OS 및 자바, 여타 다른 소프트웨어를 최신 버전으로 업데이트 한다면, 피해를 미리 예방할 수 있을 것이다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com