악성프로그램 개발툴, 반년만에 세배 늘어

사이버 범죄에 사용되는 악성프로그램 개발툴(공격용 툴킷)이 작년 하반기 대비 올해 상반기에 약 세 배나 늘어나 그만큼 공격이 일반화 되고 있는 것으로 나타났다.

시만텍코리아는 22일 '시만텍 인텔리전스 리포트' 7월호를 통해 지난 상반기 웹 공격용 툴킷 동향 분석 결과를 이 같이 발표했다.

공격용 툴킷은 네트워크로 연결된 컴퓨터를 공격하기 위해 사용되는 악성 프로그램 개발 툴이다. 다른 악성 코드와 마찬가지로 민감한 정보를 빼내거나 사용자 컴퓨터를 봇에 감염시켜 좀비PC로 만든 후 추가 공격을 감행하기 위해 사용된다.

크라임웨어(Crimeware)라고도 불리는 공격용 툴킷은 이미 알려진 보안 취약점을 이용하도록 미리 프로그램된 악성 코드와 명령제어(C&C) 서버 관리 툴 등으로 구성된다. 이를 사용해 원하는 형태로 공격을 감행하거나 공격을 자동화할 수 있다.

특히 사이버 범죄에 대한 전문지식이 부족한 기존의 범죄자들도 손쉽게 구할 수 있고, 사용법이 쉬울뿐만 아니라 범죄에 이용할 경우 수익성이 높기 때문에 다양한 사이버 범죄에 악용되고 있다고 시만텍은 밝혔다.

보고서에 따르면 이 툴을 이용한 주요 공격방식은 어도비 플래시, 자바 등 윈도 서드파티 브라우저 플러그인 등의 취약점을 이용하고, 사회공학적인 기법을 접목해 공격의 성공률을 극대화하는 식이다.

공격용 툴킷은 지하경제에서 소스코드의 저작권을 보호하고 신규 비즈니스를 창출하기 위해 서버 상에서 빌려쓰는 SaaS(Sofetware-as-a-Service) 가입기반형태로 진화하고 있는 것으로 확인됐다.

기존에 이 툴킷은 다양한 보안 취약점을 모듈 형태로 구매해 이용하는 형식을 띄었다. 예를 들어 공격자는 지하경제 시장에서 싼 가격에 공격용 툴킷 프레임워크를 구매한 후 서드파티 브라우저 플러그인 취약점을 포함한 다양한 취약점 스크립트를 별도로 구입하는 방식으로 공격 성공률을 높이도록 고안됐다.

다만 한번 구매하면 마음대로 사용할 수 있는데다가 포럼을 통해 무료로 배포되면서 수익성이 나지 않자 SaaS 가입기반 형태로 툴킷을 제공하기 시작했다

현재 거래되고 있는 툴킷은 블랙홀(Blackhole), 피닉스(Phoenix), 클리어 팩(Nuclear Pack), 블리딩 라이프(Bleeding Life), 엘리노어(Eleonore) 등이 대표적이다. 각 툴킷마다 약간의 차이는 있지만 대부분 거의 동일한 방식으로 실행된다.

이러한 취약점은 플랫폼에 독립적인 경우가 많고 대다수 툴킷은 윈도우와 맥 컴퓨터 모두를 공격대상으로 삼는다. 예를 들어, 대표적인 공격용 툴킷인 블랙홀은 지난 4월 60만대의 맥 컴퓨터를 감염시킨 자바 취약점 CVE-2012-1723을 이용한 것으로 시만텍은 분석했다.

시만텍코리아의 윤광택 이사는 과거 해커들은 무에서 유를 창조하듯 사이버 공격 기법을 스스로 개발해야 했지만 오늘날의 공격용 툴킷은 프로그래밍 지식이 없는 초보자들조차 손쉽게 사이버 공격을 감행할 수 있도록 해준다며 플러그인 취약점 이용이나 심지어 SaaS 모델로 옮겨가면서 기업 및 개인 사용자들이 피해를 입을 확률이 더 높아진 만큼 소중한 기업과 사용자들의 보안 인식 강화가 그 어느 때보다 절실하다고 강조했다.