우리나라 웹사이트에서 주로 사용해 온 액티브X 취약점을 이용한 워터링홀 공격이 통일·안보·군 관련 전문가들을 타깃으로 진행됐다.
이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(ESRC)에 따르면 우리나라 외교·안보·통일 분야의 연구를 수행하는 싱크탱크 기관과 대북단체, 군 관련 웹 사이트를 상대로 한 은밀한 워터링 홀 공격이 탐지됐는데, 이 공격에 악용된 취약점이 주로 액티브X 컨트롤 취약점이다.
ESRC가 ‘물탱크 작전(Operation Water Tank)’이라고 명명한 이 공격은 수년 전부터 한국의 방위산업체, 금융보안업체, 국방기관, 대기업, 금융기업 등을 상대로 은밀한 내부 침투와 사이버정찰을 전문적으로 수행해 온 것으로 보인다. 특정 정부기관의 후원을 받아 정교하게 해킹을 시도하고 내부 기밀자료를 탈취하는 이 공격은 2007년 사용된 공격과 유사한 부분이 있어 동일한 공격자가 아니더라도 해당 위협그룹은 다년 간 일부 코드를 공유하거나 재활용하고 있을 것으로 추정된다.
이들은 지능형 스피어피싱보다 더 넓은 전문가집단을 포괄하는 워터링홀 기법을 사용한다는 특징이 있다. 스피어피싱은 이메일 서비스를 활용해 특정인을 상대로 수행하는 표적공격이고, 1:1 맞춤형 공격이 수행될 경우 외부 노출 확률이 상대적으로 적으며, 이메일 주소를 통한 공격타깃이 명확하게 정해져 있다. 워터링은 특정 고유분야의 웹 사이트를 해킹해 그곳에 접속하는 불특정 다수를 노린다. 워터링 홀 공격은 정치·사회적으로 특정 기간에만 은밀하게 치고 빠지는 전략이 활용될 가능성이 높다고 ESRC는 설명했다.
ESRC가 분석한 ‘물탱크 작전’ 공격 그룹은 4월부터 5월 사이 집중적으로 특정 웹 사이트를 해킹해 보안취약점을 가진 다양한 한국형 소프트웨어의 익스플로잇 코드를 삽입한다. 취약점 코드가 캐스팅된 웹 사이트는 시차에 따라 변경해 보다 많은 취약코드가 작동하도록 신경을 쓰게 된다.
실제 공격에 사용된 코드는 보안관제를 회피하기 위해 난독화 기능을 포함하고 있으며, 실제 정상 웹 사이트에 등록돼 있는 스크립트로 위장했다. 보안 취약점 공격에 사용된 소프트웨어는 다양한 종류가 활용됐고, 분석과 탐지를 방해하기 위해 코드 난독화 기술을 사용하고 있다.
취약점 코드는 종류에 따라 여러 단계를 거쳐 수행되며, 각각 다른 취약점 코드이기 때문에 개별적으로 다르게 작동이 될 수 있다. 주로 액티브X 컨트롤 취약점을 사용하며, 취약점 방식에 따라 VBS 스크립트를 생성해 작동하게 된다.
ESRC 관계자는 “사이버 작전처럼 국가 차원의 지원을 받는 것으로 추정되는 위협그룹의 활동은 다양한 전략 전술이 총동원되고 있다. 한국에서 주로 사용하고 있는 특정 액티브X 컨트롤 취약점을 교묘하게 맞춤형으로 결합하는 등 공격자의 위협수위가 갈수록 높아지고 있다”고 지적했다.
