8월 15일 광복절을 앞두고 지능형 타깃 공격의 일종인 워터링홀 공격이 일어나고 있다는 정황이 포착됐다.
빛스캔에 의하면 22일 밤 10시경 국내 사이트를 해킹해 악성코드를 삽입 시켜놓고, 외국 사이트인 위구르사이트(www.uyghurweb.net/xx/xxx.xx) 내에 악성링크를 삽입시켜 놓은 정황이 포착됐다.
워터링홀 공격은 특정 사용자들이 방문하는 사이트를 대상으로 하는 타깃공격으로, 해당 웹사이트에 방문하는 사용자의 PC에 악성코드가 자동으로 설치되도록 한다. 이번에 발견된 공격은 국내 사이트를 해킹해서 악성코드를 삽입시켜 놓고, 이를 특정 외국 사이트 내에 삽입 시켜 악성코드를 유포해 주목된다.
해당 웹 사이트에서 내려오는 악성코드에서 사용된 취약점은 8개(3544-0507-1723-4681-5076-1889-0422-0634)로 자바 6종, 인터넷 익스플로러(IE) 1종, 플래시 1종이 사용됐으며, 최종 다운로드 된 바이너리는 calc.exe이며, 추가로 접속 되는 곳은 www.jessearch.com 이고 C&C 연결 주소로 추정된다.
이 악성코드의 2차 공격은 국내 2개의 웹사이트를 대상으로 진행됐다. 13일 정오 경 동일한 악성링크를 이용해 특정 국내 사이트인 동아시아연구원(eai.co.kr)과 성우회(starflag.or.kr)에 대한 공격이 확인되었다.
동아시아연구원은 외교안보분야 세계 24위, 정책 연구분야 세계 26위로 2002년 5월 설립된 독립 연구기관이고, 동아시아 국가들이 자유민주주의와 시장경제 그리고 개방된 사회를 발전시킴으로써 평화로운 국제 사회 형성에 이바지할 수 있도록 연구를 통한 정책을 위해 설립된 기관이다.
성우회는 예비역 장성모임 사이트로 1965년에 창립되었다가 1980년 국가보위비상대책위원회에 의해 해체된 성우구락부가 모태이다. 설립 목적은 회원 상호간의 친목과 상부상조를 도모하는 것 외에, 자유수호, 국가보위와 조국의 평화통일에 관련된 문제를 연구 분석하여, 이 가치 수호에 중대위협이 되는 조짐이 있을 때에는 비판, 계몽하여 자유민주주의 체제수호를 위한 국민적 결의를 선도하는 것이다.
두 웹사이트에 대한 공격은 ▲거의 같은 시간대에 공격 발생 ▲공격에 활용된 취약점은 자바(CVE-2013-0422) ▲중간 유포지로 국내 사이트인 hotel365.co.kr 활용 ▲최종 바이너리는 kr0812.exe, 분석 결과 키로거 기능을 보유 등의 공통점을 갖는다.
특히 추가 분석을 통해서 분석된 C&C 연결 주소는 홍콩 IP로 연결되며, 이 경우 SSL로 암호화한 통신을 하는 것을 확인했으며, SSL로 연결하는 트래픽의 경우 IDS/PS 장비로 분석이 불가능하므로, 실제적인 대응이 어려울 수 밖에 없으며, 해결방안으로는 경유지 등 URL을 최대한 빨리 차단하는 방법이 최선이다.
삽입된 악성링크를 보면, 해외 사례와 국내 사례 모두 hotel365.co.kr 웹사이트의 하위 링크를 사용하는 것으로 보아 동일한 공격자의 소행으로 추정이 가능하다.
중국과의 분쟁이 있는 위구르 사이트에 대한 워터링홀 공격과 국내 사이트를 대상으로한 워터링홀 공격이 동일 도메인을 이용해 거의 동시에 발견된 것으로 볼 때 공격집단에 대한 예상도 달라져야 할 것으로 보인다.
민감한 정보의 수집과 특정 대상에 대한 공격은 불특정 국가나 조직이 실행 할 수 있으며, 탐지된 공격의 경우는 중국내의 조직에서 실행 되었을 가능성이 높다. 위구르족에 대한 타깃 악성코드 감염 사례가 그 예라고 할 수 있다. 국경 없는 정보의 수집과 공격이 여전히 진행되고 있다.
빛스캔 관계자는 “웹 취약점을 이용한 공격을 막기 위해서는 웹 서비스의 취약성을 꾸준히 개선해야한다”며 “빛스캔은 매일 150만개의 국내 웹 서버의 취약점을 분석하고 있는데, 하나의 웹 서버의 하부 디렉터리까지 1억8000만 건을 분석해 악성코드가 유입되는 악성링크(Malware Link)를 분석하는 PDCS(Pre Crime Detection System) 솔루션으로 웹 취약점을 찾아낸다”고 말했다.
