타깃 집단을 대상으로 사이트 방문만으로도 악성코드에 감염되도록 하는 워터링홀 공격이 극성을 부리고 있는 가운데, 국내 안보관련 연구소를 대상으로 한 타깃 공격과 MS 인터넷 익스플로러(IE) 8을 겨냥한 제로데이 공격이 국내에서 발견돼 주의가 요구된다.
빛스캔(www.bitscan.co.kr)은 21일 발표한 2편의 보고서를 통해 이같이 밝히고, 주요정보 유출 등 보안사고 위험에 적극 대처해야 한다고 주장했다.
빛스캔 보고서에 따르면 16일 한국군사문제연구원, 한국안보문제연구소, 한국전략문제연구소, 한국해양전략연구소 등 국내 안보관련 연구소 4곳의 웹사이트가 공격을 당한 것으로 밝혀졌다.
사이트 방문만으로 악성코드에 감염되는 공격 중 워터링홀 공격은 특정한 목표 집단을 감염시켜 정보를 빼가는 등 타깃공격을 위해 사용되며, 드라이브 바이 다운로드는 불특정 다수가 이용하는 대중적인 사이트를 통해 악성코드를 배포해 많은 대중에게 악성코드를 배포한다.
빛스캔은 지난주 연휴를 앞둔 16일 안보관련 사이트를 대상으로 표적공격을 시도했다는 점을 강조하며, 공격대상은 최소 4개의 안보관련 연구소들이며, 추가적인 공격 대상이 더 있을 가능서을 제기했다.
PCDS(Pre Crime Detect Satellite)에서 탐지된 범위는 현재 4곳이며, 공격이 은밀하게 진행되고 있고, 사전 작업들도 일정 수준 진행된 것으로 확인 되고 있다. 공격자들은 네 곳의 웹서비스들에 대해 모든 권한을 가진 상태에서 웹서비스의 소스를 변경하여 악성링크를 모든 방문자들에게 자동으로 실행하도록 구성했다. 웹 서비스의 화면을 변경 하는 것이 아니라 대상을 한정한 악성코드를 감염 시키기 위한 목적으로 이용했다.
방문자 PC를 공격하는데 이용된 취약성은 Java 취약성 CVE-2013-2423과 CVE-2013-1493이 사용됐다. 공격에 사용된 악성링크는 4월 PCDS를 통해 등록된 악성링크였으며, 해당 악성링크는 4월 발견 당시에는 공격기능이 포함되지 않은 비정상적인 링크로서 구분이 된 상태였으나 이번에 공격코드가 추가돼 영향을 미친 상태라 할 수 있다. 즉 16일 이전에도 여러 번 공격이 있었다는 반증일 수 있다.
빛스캔은 “4곳의 안보관련 연구소와 악성링크는 차단이 완료되고 추가 대응조치가 진행 중”이라며 “국내 주요기관을 대상으로 한 이메일 첨부형 APT이외에도 워터링홀과 같이 방문자가 한정된 서비스를 대상으로 하여 감염 시키는 표적형 감염 공격이 심각한 상황이며, 이메일에 비해 보호할 수 있는 체계가 빈약한 웹을 통한 감염이라 대응 방안이 많지 않다”고 지적했다.
한편 지난 3일 미국 노동부 사이트에서 발견된 IE 8 취약점 악용 제로데이 공격 CVE-2013-1347이 18일 YTN과 인벤, 한경닷컴 등에서도 발견됐다. 이 취약점은 MS에서 15일 월간 보안 업데이트를 통해 패치했기 때문에 보안패치 업데이트를 마친 사용자들은 영향을 받지 않을 수 있다.
