웹사이트를 방문하는 것 만으로도 악성코드에 감염되는 ‘드라이브 바이 다운로드’ 공격 기법이 성행하고 있다. 특히 특정 목적을 위해 웹사이트에 악성코드를 심거나 악성코드를 배포하는 URL로 자동으로 유인하는 ‘워터링 홀’ 공격이 급증하고 있다.
시만텍이 17일 발표한 연례 보고서 ‘시만텍 인터넷 보안위협 보고서(ISTR) 2013’는 워터링홀 공격의 위험성을 경고했다. 워터링홀은 ▲공격 대상의 정보를 수집해 방문하는 웹사이트를 파악한 후 ▲파악된 웹사이트를 대상으로 취약점을 조사해 ▲공격 가능한 웹사이트에 제로데이 취약점 공격코드를 심은 특정 웹사이트로 리다이렉트 하도록 자바스크립트나 HTML을 삽입한다 ▲그 후 사자가 먹이를 습격하기 위해 물 웅덩이 근처에서 매복하는 것 처럼 공격대상이 제로데이 취약점에 감염되기를 기다린다.
ISTR 보고서에서는 웹 기반 공격이 지난해 약 3분의 1 가량 증가했으며, 소기업 웹사이트에 잠입해 사이트 운영자나 피해자가 모르게 툴킷과 악성코드를 설치한다고 설명했다. 공격자들은 PHP 스크립트 등을 이용해 공격자의 웹사이트에서 자동으로 돌연변이 악성 코드를 생성해 매번 기존 유형과 조금씩 다른 형태로 공격하는 서버측 다형성 공격을 이용하기 때문에 기존의 시그니처 기반 백신에만 의존하는 기업들은 이러한 은밀한 공격을 방어할 수 없다.
이러한 웹 기반 공격은 성공률도 높다. 대다수 기업과 개인 사용자들의 시스템은 어도비 플래시 플레이어, 아크로뱃 리더와 같은 브라우저 플러그인과 오라클 자바 플랫폼에 대한 최신 패치가 설치돼 있지 않기 때문이다.
일부 대기업은 업무에 중요한 시스템을 운영하는데 이전 버전의 브라우저 플러그인이 필요해 최신 버전으로의 업그레이드가 어려운 경우도 있다. 이 같은 보안 업데이트 패치 관리의 애로사항과 낮은 패치 설치율로 인해 기업들은 웹 기반 공격에 취약하게 노출된다.
시만텍의 웹스캐닝 솔루션인 ‘노턴 세이프 웹 데이터’로 조사한 바에 따르면 악성 웹사이트의 61%가 일반 웹 사이트였으며, 소비재, 산업재 및 서비스 분야 업체들의 웹사이트가 주로 감염 대상이었으며, 기타 보안 투자가 적은 많은 중소기업들의 웹사이트도 주요 공격대상이었다.
“웹 사이트 광고 통한 악성코드 다운로드 심각”
워터링홀 공격은 특정목적을 위해 타깃 사용자가 자주 방문하는 사이트를 감염시키는 것이지만, 우리나라에서는 타깃을 뚜렷이 구분하지 않고 모든 사용자의 PC를 감염시키는 형태로 나타나고 있다.
특히 우리나라에서는 웹사이트 광고를 통해 악성코드가 유포되는 경우가 많다. 웹사이트 광고주나 광고 제작사는 대부분 영세한 규모이기 때문에 보안을 고려하지 않는 경우가 많다. 보안에 취약한 광고 배너를 게재한 웹사이트는 자동으로 악성코드 유포지가 되는 것이다.
윤광택 시만텍코리아 이사는 “기업/기관이 자사 사이트를 시큐어코딩 솔루션을 이용해 웹 애플리케이션을 안전하게 개발하고, 웹 보안을 위한 솔루션 도입과 정책을 잘 이행하고 있다고 해도, 악성코드가 심어진 광고 배너 때문에 자사 사이트가 악성코드 유포지로 악용될 수 있다”며 “웹 보안을 보다 강화할 수 있는 방법이 필요하다”고 말했다.
웹 취약점 모니터링 기업인 빛스캔의 문일준 대표이사는 “악성코드 유포자는 타깃 사용자들이 가장 많이 방문하는 사이트에 악성코드를 심거나 악성코드 유포지로 사용되는 사이트로 리다이렉트 하도록 한다. 악성코드 유포지는 방문자가 적은 일반 회사의 웹사이트나 해외 ISP 서버 등을 이용해 악성코드 유포지를 쉽게 파악할 수 없도록 한다”며 “이러한 방법으로 공격자는 서버 관리자 권한을 획득하거나 개인정보를 빼갈 수 있다”고 설명했다.
문 대표는 “개인 사용자들이 MS, 어도비 등 상용 소프트웨어 업데이트 패치만 철저히 해도 이러한 공격의 상당부분을 막을 수 있다. 개인 사용자들이 보안을 위한 기본 규칙을 잘 지키도록 하는 것이 급선무”라며 “기업/기관에서는 자사 사이트가 해킹당하지 않도록 철저히 관리·모니터링하고, 웹방화벽·웹스캐너 등을 이용해 보호하도록 해야 한다”고 덧붙였다.
