최근 온라인 범죄자들이 가칭 이탈리안 잡이라 불리는 광범위한 웹 공격을 통해 수만 개의 합법적인 사이트를 공격 거점으로 악용, 전세계적으로 1만 개 이상의 웹 사이트를 감염시킨 사건이 발생했다. 감염된 웹 사이트는 모두 합법적인 기업, 정부 사이트이며, 공격자들은 사이트의 페이지에 숨겨진 짧은 HTML 코드인 iFrame을 이용해 사용자의 웹 브라우저가 다른 서버로 연결되도록 유도한 후 MPack이라는 툴을 통해 사용자의 컴퓨터를 감염시켰다.
MPack은 다양한 클라이언트 웹 기반 악성 프로그램을 포함하는 툴킷으로, 웹 사이트에 잠복하면서 방문하는 모든 사용자의 시스템을 악성 프로그램에 즉각적으로 감염시킨다. MPack은 키로거와 트로이 다운로더 프로그램을 사용자의 PC에 설치하고, 사용자의 작업 내용을 감시하거나 신용카드, 은행계좌 등의 기밀 정보를 빼내거나, 기타 다른 불법적인 프로그램을 컴퓨터에서 실행한다.
라드웨어는 MPack 툴킷에 감염된 웹 사이트를 보호하기 위해 즉각 긴급 시그니처 업데이트를 공개했다. 라드웨어의 IPS인 디펜스프로(DefensePro)는 MPack 툴이 이용하는 취약점으로부터 사용자를 보호하고, MPack 관리 인터페이스를 통한 접근을 막아 공격자와 감염된 웹 사이트의 커뮤니케이션을 차단해냈다. 또 MPack이 공격 시도를 은닉하기 위해 사용하는 코드 난독화(obfuscation) 기술을 탐지해내는 기능도 함께 제공됐다.
라드웨어 보안 운영 센터장 이치크 코틀러(Itzik Kotler)는 "라드웨어 보안 운영 센터가 신종 위협에 대한 보안 업데이트를 세계 최초로 공개했다"며 "새로운 취약점이 확인될 때마다, MPack 프로그램은 자체적으로 업데이트를 수행하고 최대한 많은 컴퓨터를 감염시키려 시도한다. 라드웨어는 MPack 툴킷에 대한 정밀한 분석 작업을 통해 이 툴이 사용하는 코드 난독화 기술을 밝혀냈으며, 향후 등장하게 될 코드 변종에 대해서도 대처할 수 있는 강력한 보호 환경을 제공할 수 있게 됐다"고 밝혔다.
라드웨어코리아 김도건 사장은 “MPack과 같은 최신 공격 툴킷은 인터넷상에서 암암리에 유포되고 있기에 이와 유사한 악의적인 웹 공격이 우리나라에서도 발생할 수 있다”며 “이번 기회를 통해 악의적인 웹 공격 및 바이러스 감염에 대한 라드웨어의 즉각적인 대응 능력이 입증됐으며, 이를 통해 침입방지 분야의 믿을 수 있는 파트너로서의 라드웨어의 입지를 더욱 강화할 수 있게 됐다”고 설명했다. <강석오 기자>
