2014년에도 안보관련 웹사이트를 중심으로 워터링홀 등 다양한 공격이 이루어졌다. 특히 군사문제연구원의 경우 지난해 4월, 5월, 11월부터 현재까지 악성링크가 삽입된 채로 방치된 상황이 관찰되고 있다. 또한 2015년 1월 10일에는 국방부 웹툰 공모전 사이트를 활용해 비정상 링크를 삽입하고 이를 악성코드 경유지로 연결하는 정황도 발견되고 있어 신속한 조치가 필요하다.  
 
빛스캔(대표 문일준) 측은 “지속적으로 방치되고 있는 군사문제연구원은 지난 11월에 이미 공격이 발생한바 있다. 당시에 발견 되었던 CVE-2014-6332의 취약점을 이용한 악성링크는 삭제되었지만,이전부터 영향을 주었던 레드킷으로 추정되는 악성링크는 현재에도 남아있는 상태”라며 “하지만이 역시 악성링크는 동작하지 않는 404 Not Found 상태이지만, 공격자가 이용할 경우 즉시 웹사이트 방문자가 영향을 받을 수 있기 때문에 위험성은 여전히 높다. 통로는 만들어져 있고 공격코드를 넣는 즉시 감염 피해가 발생할 수 있다”고 경고했다.

 
일반 방문자가 안보관련 연구소의 웹 서비스들을 방문하는 비율은 그리 많지 않다. 당연히 업무와 연관된 관계자들이 방문하는 것이 일반적이기 때문에 감염 대상을 한정해 공격하는 워터링 홀 공격이라고 볼 수 있다.
 
또한 1월 10일에 새롭게 발견된 국방부 웹툰 공모전 페이지를 이용한 비정상악성링크는 공격코드 유포지로 가기 위한 경유지로 확인되었다. 비록, 공모전서비스 자체에 대해 공격자들이 권한을 가지고 임의로 악성페이지를 생성해, 다른 웹서비스들의 소스에 추가되어 일반 방문자 공격에 이용된 상황이다.

  
빛스캔 측에 따르면, 국방부 웹툰 공모전 사이트에서 연결되는 링크는 카이홍 공격킷이 삽입되어 있는 공격코드 유포지로 연결되었다. 다운로드 되는 파일은 파밍 악성코드로 확인되었다. 최초 발견된 이후 3일이나 지난 현재까지도 악성링크는 그대로 삽입되어 있다는 점이다. 이를 판단해 보았을 때 아직까지 이용 당했다는 정황 자체도 파악을 하지 못한 것으로 판단된다. 게다가 공모전 기간과 겹치면 해당 페이지에서는 공모 작품 등을 접수 받는 기능을 가지고 있어, 공격자가 해당 서버에 대한 권한을 가지고 있는 상태라 추가적인 정보 유출과 같은 2차 피해가 발생할 수 있다.
 
공격자들은 웹서비스들에 대해 모든 권한을 가진 상태에서 웹서비스의 소스를 변경해 악성링크를 모든 방문자들에게 자동으로 실행하도록 구성했다. 웹 서비스의 화면을 변경하는 것이 아니라 대상을 한정한 악성코드를 감염 시키기 위한 목적으로 이용한 상황이다.
 
빛스캔 관계자는 “악성코드 유포를 위해 취약한 웹 서비스들에 대량으로 악성링크를 삽입해 이루어지는 공격은 여전히 활발하게 이루어지고 있음은 물론이고, 정상링크와 단축 URL을 활용한다는 것은 탐지장비 및 전문가들도 판단하기 어려운 상황”이라며 “일반 사용자들은 악성링크가 삽입된 사이트에 방문만 하더라도 해당 웹 페이지에 삽입된 링크로 연결되어 자신도 모르는 사이에 악성코드에 감염되는 Drive-by download 공격에 노출될 수밖에 없다. 이것이 현재 우리가 처한 상황”이라고 전했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com