11월 21일 국내 안보 관련 주요 연구소의 웹 사이트에 삽입된 악성URL이 탐지됐다. 일반 방문자보다는 관련 업무와 연관된 방문자들을 타깃으로 한 워터링 홀 공격으로 추정된다.
 
빛스캔에 따르면, 공격자들은 웹 서비스들에 대해 모든 권한을 가진 상태에서 웹 서비스의 소스를 변경해 악성링크를 모든 방문자들에게 자동으로 실행하도록 구성했다. 웹 서비스의 화면을 변경 하는 것이 아니라 대상을 한정한 악성코드를 감염시키기 위한 목적으로 이용된 것으로 확인됐다.

 
방문자 PC를 공격하는데 이용된 취약성은 CVE-2014-6332 취약점을 이용하는 윈도우 OLE 취약점이다. 웹 브라우저인 IE가 OLE 객체를 처리하는 과정에서 원격으로 코드를 실행할 수 있는 취약점이다.
 
해당 취약성의 상세한 내용은 cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6332에서 확인이 가능하다.
 
또한 현재는 해당 기관 웹 사이트 내에 삽입된 악성링크는 차단이 완료됐고 추가 대응조치가 진행 중이다.  
 
주요 시사점으로는 국내 주요기관을 대상으로 한 이메일 첨부형 APT 이외에도 워터링홀과 같이 방문자가 한정된 서비스를 대상으로 해 감염시키는 표적형 감염 공격이 심각한 상황이다. 이메일에 비해 보호할 수 있는 체계가 빈약한 웹을 통한 감염이라 대응 방안이 많지 않다는 것이 문제다.  
 
또한 탐지 회피를 위해 사전에 악성링크를 만들어 두고, 공격 시점에만 공격코드를 추가하는 형태와 같은 지능적 공격 및 단축 URL을 이용한 탐지회피 시도가 발견 되었다는 점을 들 수 있다.
 
악성코드를 대량으로 감염시키는 매커니즘은 모든 방문자를 대상으로 감염을 시키는 상황에서 발생된다. 취약한 웹 사이트에 공격자가 인위적으로 수정해 추가한 악성링크를 통해서 대량 유포된다는 점이다. 특히 대상이 한정된 공격의 경우, 정보유출의 범위가 폭넓고 전문적인 자료들이 유출될 수 있어 주의해야 한다.
 
빛스캔 관계자는 “악성코드 유포를 위해 취약한 웹 서비스들에 대량으로 악성링크를 삽입해 이루어지는 공격은 여전히 활발하게 이루어지고 있음은 물론이고, 정상링크와 단축 URL을 활용한다는 것은 탐지장비 및 전문가들도 판단하기 어려운 상황”이라며 “일반 사용자들은 악성링크가 삽입된 사이트에 방문만 하더라도 해당 웹 페이지에 삽입된 링크로 연결되어 자신도 모르는 사이에 악성코드에 감염되는 드라이브 바이 다운로드(Drive-by download) 공격에 노출될 수밖에 없다”고 우려했다.
 
또 “정상 페이지로부터 자동 접속되는 악성링크는 사용자 PC의 다양한 어플리케이션의 취약점을 이용하여 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다. 또한 초기 설치되는 악성파일들은 국내에서 사용되는 주요 백신을 우회하도록 제작되어 있어 초기 대응은 사실상 어려움이 많다”며 “모든 악성링크가 추가된 모든 웹 서비스 방문자를 대상으로 공격은 발생되며, 접속하는 브라우저가 해당 취약점 중 한가지 취약점에만 노출되어도 감염되고 좀비PC가 된다. 감염이 된다면 PC의 모든 권한이 공격자에게 넘어간 상태가 되고, 추가적인 피해로 이어질 수 있다”고 경고했다.
 
지난 2013년 4월, 5월에도 국내 안보 관련 주요 연구소를 대상으로 한 표적공격이 발견된 바 있다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com