게임 아이템 거래, 인터넷 뱅킹, 휴대폰 소액결제 등이 활발한 우리나라는 해커들이 손쉽게 돈을 벌 수 있는 놀이터나 다름없다. 우리나라는 인터넷 가장 잘 발달해 있으면서도 웹사이트들의 보안성은 낮은 편인데다가 인터넷을 통한 자금 거래 역시 활발하기 때문이다.
문제는 이와 같은 유형의 공격이 일상화됐다는 점이다. 해커들은 보안이 취약한 웹사이트에 방문하기만 해도 악성코드에 감염되는 '드라이브 바이 다운로드' 라는 공격 수법을 동원해 수많은 국내 웹사이트 방문자들이 접속하기만을 기다리고 있다.
29일 정보보안전문가의 도움으로 해커들이 어떻게 보안이 취약한 웹사이트를 통해 악성코드를 유포하는지를 확인했다.
시연 대상은 최근까지 악성코드 유포가 확인된 날씨 정보 관련 웹사이트와 모 피자 전문 업체의 웹사이트였다.
두 사이트는 모두 방문하자마자 악성코드에 감염되도록 해커들에게 악용되고 있었다. 뿌려진 악성코드들은 트로이목마 바이러스 유형으로 자바, 인터넷익스플로러, 플래시 등에서 나타나는 8가지 보안 취약점이 적용됐다. 이는 모두 윈도 운영체제(OS) 기반 인터넷 환경에서 자주 사용되는 프로그램들이다.
빛스캔 오승택 연구원은 자신의 PC와 같은 가상화 환경에서 직접 해당 사이트를 방문했을 때 벌어지는 일들에 대해 설명했다.
이 회사의 분석툴을 통해 확인한 결과 날씨 관련 사이트에 방문하면 자바스크립트로 만들어진 'motel-bj.com/news/images/js.js'가 실행되고 'molbbang.com/nechat/mk/km.html'에 접속을 유도한다. 이 웹페이지는 '14.exe'라는 추가적인 악성코드를 방문자 PC에 다운로드해 설치한다.
이 과정에서 해커는 기존에 알려진 8개의 보안취약점을 이용해 관리자 권한을 획득한 뒤 백신을 우회하거나 실행종료 시키고 추가적인 악성코드를 실행할 수 있는 환경을 만든다.
최종적인 악성파일(14.exe)을 다운로드 하도록 유도하는 'molbbang.com/nechat/mk/km.html'는 난독화가 적용돼 있어 쉽게 탐지되지 않도록 설계됐다. 모 피자사이트도 해당 웹사이트와는 전혀 상관없는 엉뚱한 여행사로 접속해 비슷한 수법으로 악성코드를 다운로드 받도록 강제하는 것으로 확인됐다.
문제는 방문자 입장에서는 이처럼 복잡한 일련의 과정을 거쳐 악성코드에 감염된다는 사실을 전혀 알 수 없다는 점이다. 해커들은 한번 감염시킨 PC를 이용해 파밍이나 파괴 기능 등을 가진 악성코드를 추가로 다운로드 받는다. 그 뒤로 감염된 PC 사용자가 진짜 은행 사이트의 주소를 입력해도 파밍 사이트로 연결되고, 온라인 게임 계정이 유출되거나 특정 시점이 지나면 PC 시스템 파일이 삭제되는 등 해커 마음대로 해당 PC들을 조종할 수 있게 된다.
관련기사
- 안드로이드 악성코드, 17배↑2013.04.30
- 구글 플레이 스토어 '악성앱 배포 온상'2013.04.30
- 유명 어학원, 1달 간 악성코드 유포지로2013.04.30
- 사이버테러 끝? 악성코드 유포 여전2013.04.30
빛스캔에 따르면 지난 주에 공다팩, 레드킷 등의 익스플로잇 툴을 사용해 만들어진 악성링크는 1천642개에 달한다. 악성파일 여부를 확인할 수 있는 바이러스토털을 통해 14.exe 파일을 분석하면 악성파일로 확인된다. 이 중에는 우유회사, 신문사, 커피전문점, 패스트푸드 등의 서비스를 제공하는 웹사이트들이 포함된다. 방문자들은 이미 악성코드에 일상적으로 노출돼 있는 셈이다.
이와 관련 전상훈 빛스캔 이사는 이메일 첨부파일을 통한 APR 공격에 비해 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 악성코드 유포가 이뤄지고 있다며 8종의 취약점에 관해서는 반드시 최신 보안 업데이트를 적용하고 평상시에도 세부적인 모니터링이 필요하다고 밝혔다.
