안보관련 연구소 대상 ‘워터링 홀’ 공격 발생!

[류병규]

한국군사문제연구원·한국안보문제연구소 등 4곳 타깃으로 공격

PC 영역에서 사용되는 악성링크를 단축 URL로 사용...탐지 회피

[보안뉴스 김태형] 악성코드 탐지·분석 전문 보안 기업 빛스캔은 자사의 악성코드 탐지시스템 PCDS(Pre Crime Detect Satellite)에서 국내 안보관련 연구소 웹사이트를 대상으로 한 표적 공격이 발견됐다고 밝혔다.

▲ 한국군사문제연구원 - 구글 단축 URL 연결 이후 대만 도메인의 악성링크로 연결

특정 대상들만 주로 방문하는 사이트를 대상으로 한 악성코드 감염 시도를 ‘워터링홀(Watering Hall)’ 공격이라 부른다. 즉, 일반인들이 상시적으로 방문하는 사이트가 아니라 특정 계층이나 관련된 인사들만이 접근하는 사이트들을 대상으로 악성코드 감염을 유도하도록 하는 공격을 말한다.

국내에서는 이미 2005년부터 게임관련 유저를 대상으로 발생된 사례가 있으며, 최근 해외에서도 웹 서비스를 방문만 해도 감염되는 이른바, Drive By Download 공격이 큰 이슈가 되고 있는 상황이다.

빛스캔 관계자는 “이러한 공격이 국내에서는 매주마다 빈번하게 발생되고 있으나, 해외에서의 공격보다 더 큰 범위의 공격이 불특정 다수를 대상으로 매주 활발하게 발생되고 있는 상황”이라고 말했다.

이와 관련 전상훈 빛스캔 이사는 “지난 연휴를 하루 앞둔 2013년 5월 16일, 국내 안보 관련 주요 연구소를 대상으로 한 표적공격이 발견됐으며 공격 대상을 국내 안보 관련 연구소로 한정한 것 외에도 몇 가지 의미 있는 이슈들이 발견됐다”고 말했다.

또한, 그는 “안보관련 주요 연구소들의 웹 서비스들을 일반 사람들이 방문하는 비율은 그리 많지 않을 것이며, 업무와 연관된 사람들이 방문하는 것이 일반적이라고 보았을 때 감염 대상을 한정하여 공격한 ‘워터링 홀’ 공격으로 정의할 수도 있을 것”이라고 덧붙였다.

▲ 한국안보문제연구소 - 대만 악성링크가 직접 이용됨

빛스캔에 의하면 현재 발견된 공격 대상은 최소 4개의 안보관련 연구소들이며, 추가적인 공격대상들은 더 있을 수 있다. 그러나 PCDS에서 탐지된 범위는 현재 4곳으로 한정되어 있다. 공격이 은밀하게 진행되고 있으며, 사전 작업들도 일정 수준 진행된 것으로 확인됐다.

주요 웹 서비스들의 소스를 변경해 추가된 악성링크는 현재 두 가지 종류이다. 한 종류는 단축 URL이 사용되어 결국에는 두 종류 모두 동일한 악성링크를 실행하도록 하고 있다. 단축 URL의 악성링크 활용은 이미 오래 전부터 문제로 지적된 바 있으나, 모바일 영역의 악성 앱 설치를 위한 단축 URL 이외에 PC 영역에서 사용되는 악성링크를 단축 URL을 사용한 것은 매우 의미 있는 사안이라 할 수 있다. 탐지를 회피하기 위한 수단으로 이용됐기 때문이다.

빛스캔 측은 “이번 공격 대상 웹 사이트는 한국군사문제연구원, 한국안보문제연구소, 한국전략문제연구소, 한국해양전략연구소 등이며, PCDS 상에서는 현재 4곳의 연구소들이 공격대상으로 탐지되어 있다. 일반인들은 평상시에 접근할 일이 거의 없는 특화된 연구소들”이라고 설명했다.

공격자들은 이 4곳의 웹 서비스들에 대해 모든 권한을 가진 상태에서 웹 서비스의 소스를 변경해 악성링크를 모든 방문자들에게 자동으로 실행하도록 구성했다. 웹 서비스의 화면을 변경하는 것이 아니라 대상을 한정한 악성코드를 감염시키기 위한 목적으로 이용한 상황이다.

방문자 PC를 공격하는데 이용된 취약성은 Java 관련 취약성 두 종류가 이용됐으며 해당 취약성은 CVE-2013-2423과 CVE-2013-1493 취약성이 사용됐다.

(해당 취약성에 대한 상세한 내용에 대해서는 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1493에서 확인 가능하다)

공격에 이용된 악성링크는 이미 4월에 PCDS를 통해 등록된 악성링크였으며, 해당 악성링크는 4월 발견 당시에는 공격기능이 포함되지 않은 비정상적인 링크로서 구분된 상태였으나, 이번 5월 16일에 공격코드가 추가되어 영향을 미친 상태라 할 수 있다. 즉, 5월 16일 이전에도 여러 번 공격이 있었다는 반증일 수도 있다.

▲ 한국전략문제연구소 - 구글 단축 URL을 통해 대만 도메인의 악성링크 실행

4월에 최초 발견된 악성링크는 ‘www.XXXX.com.tw/images/header.js’였다. 해당 악성링크는 현재 이슈가 발견된 최소 4곳의 안보관련 연구소들 중 일부에 포함이 되어 있는 상태에서 발견됐다.

빛스캔 측은 “공격링크의 내용이 비어 있는 상태를 유지하다가, 5월 16일에 header.js 파일내의 내용에 공격코드가 포함됨으로써 실질적인 공격이 발생된 상황이라 할 수 있다”면서 “이미 PCDS 상에서는 등록된 악성링크라 4월 이후에도 여러 차례 공격이 발생되었을 것으로 추정된다. 감염 이후 설치되는 바이너리는 백도어 유형으로 추정된다”고 설명했다.

▲ 한국해양전략연구소 - 대만 도메인의 악성링크 직접 활용

Java 관련 공격이 실행될 때 이용되는 공격코드의 일부 내용은 다음과 같다.

<html><head></head><body><applet‎ archive="OS7aOmC5UPE2iQDJ.jar" code="Init.class" width="1" height="1"></applet‎><applet‎ archive="0DUIOMCiPZUXfBvE.jar" code="Xxploit.class" width="1" height="1"></applet‎></body></html>

현재 확인된 최소 4곳의 안보관련 연구소들과 대만에 위치한 악성링크에 대해서는 차단이 완료되고 추가 대응조치가 진행 중에 있음을 확인했다.

이에 대해 전상훈 이사는 “국내 주요기관을 대상으로 한 이메일 첨부형 APT 공격 외에도 워터링 홀과 같이 방문자가 한정된 서비스를 대상으로 감염시키는 표적형 감염 공격이 심각한 상황이며, 이메일에 비해 보호할 수 있는 체계가 빈약한 웹을 통한 감염이라 대응 방안이 많지 않다”라고 말했다.

이어서 그는 “또한 탐지 회피를 위해 사전에 악성링크를 만들어 두고, 공격시점에만 공격코드를 추가하는 형태와 같은 지능적 공격 및 단축 URL을 이용한 탐지회피 시도가 발견 되었다는 점을 들 수 있는 점은 시사하는 바가 크다”고 덧붙였다.

이는 국내 주요기관과 기업을 대상으로 한 집요한 공격들은 현재도 계속되고 있으며, 수면 위의 고요함과는 다르게 아주 치열한 공격들은 보이지 않는 곳에서 지금도 진행되고 있는 상황이다. 게다가 3.20 사이버테러를 당하고 이제서야 간신히 향후 대응 방안을 제시하려는 시점에서도 공격이 계속 된다는 점은 심각한 상황이다.

전 이사는 “악성코드를 대량으로 감염시키는 매커니즘은 모든 방문자를 대상으로 감염을 시키는 상황에서 발생된다. 취약한 웹 사이트에 공격자가 인위적으로 수정하여 추가한 악성링크(비정상링크)를 통해서 대량 유포된다는 점”이라면서 “웹서비스의 권한을 장악한 진입통로를 막지 못한다면 3.20 이슈와 같은 상황은 수시로 발생 될 수밖에 없다. 특히 대상이 한정된 공격의 경우, 정보유출의 범위가 폭넓고 전문적인 자료들이 유출될 것임은 분명한 일”라고 강조했다.

악성코드 유포를 위해 취약한 웹 서비스들에 대량으로 악성링크를 삽입해 이루어지는 공격은 여전히 활발하게 이루어지고 있음은 물론, 정상링크와 단축 URL을 활용한다는 것은 탐지장비 및 전문가들도 판단하기 어려운 상황이다.

일반 사용자들은 악성링크가 삽입된 사이트에 방문만 하더라도 해당 웹 페이지에 삽입된 링크로 연결되어 자신도 모르는 사이에 악성코드에 감염되는 Drive-by download 공격에 노출될 수밖에 없는 것이 현재의 상황이라는 얘기다.

정상 페이지로부터 자동 접속되는 악성링크는 사용자 PC의 다양한 애플리케이션의 취약점을 이용하여 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다. 또한 초기 설치되는 악성파일들은 국내에서 사용되는 주요 백신을 우회하도록 제작되어 있어 초기 대응은 사실상 어려움이 많다.

모든 악성링크가 추가된 모든 웹서비스(경유지) 방문자를 대상으로 공격은 발생되며, 접속하는 브라우저가 해당 취약점 중 한 가지 취약점에만 노출되어도 감염되고 좀비PC가 된다. 감염이 된다면 PC의 모든 권한이 공격자에게 넘어간 상태가 되고, 추가적인 피해로 이어질 수 있다.

빛스캔 측은 “악성코드를 유포한 사례가 있는 웹 서비스는 자체적인 보안대책을 강구하기 어렵다면, 전문기관 및 기업의 협조를 받아 문제의 원인을 찾아 해결해야만 한다. 근원적인 원인을 찾아 대응하지 않는다면 끊임없는 악성코드 유포 이슈와 내부 정보유출의 위험을 항상 우려해야만 할 것”이라고 말했다.

사고 신고 : www.krcert.or.kr/kor/consult/consult_01.jsp

웹보안 서비스 참고 : www.krcert.or.kr/kor/webprotect/webprotect_01.jsp

한편, 빛스캔은 국내 150만개, 해외 30만개 등 매일 180여만개의 웹사이트에서 발생하는 악성코드 유포 및 경유 사례를 실시간으로 관련 정보를 수집 분석하고 있다. 매주 수요일 한국 인터넷 위협 상황에 대해 브리핑, 동향정보, 기술정보로 분류된 정보제공 서비스를 가입 기업 및 기관에게 제공하고 있다. 브리핑에 대한 요약은 무료로 제공되고 있으며 info@bitscan.co.kr 로 신청할 수 있다.

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알기쉬운 정보보안기사.산업기사(이론편,문제편[1,200제])