웹사이트 방문자의 PC에 악성코드를 자동으로 다운로드하는 ‘드라이브 바이 다운로드’ 공격이 한층 더 진화했다. 방문자 PC를 감염시키지 않으면, 다른 사이트로 이동하거나 웹 브라우저를 종료하지 못하도록 하는 공격이다.
하우리(대표 김희천)가 2일 발표한 새로운 공격은 웹 브라우저를 사용해 인터넷을 이용하는 사용자들이 특정 사이트에 방문할 경우, 다른 사이트로 이동하거나 웹 브라우저 종료가 불가하도록 한 후, 해당 페이지에서 벗어나기 위해서는 업데이트 프로그램을 설치하라는 등의 특정 프로그램을 설치하도록 유도해사용자들에게 악성코드를 감염시킨다.
해당 방식은 웹 브라우저의 닫기 버튼을 이용한 종료, 새로운 웹사이트로 이동 등을 하지 못하도록 특정 스크립트를 삽입해 악성코드 감염을 유도하는 방법으로, 초보자들의 경우 탈출이 매우 어렵다. 사용자들은 웹 브라우저에서 탈출하고자 악성코드를 설치하게 되고 이를 통해 해커들은 성공적으로 사용자의 PC에 악성코드를 감염시킬 수 있다.
이러한 방법은 인터넷 익스플로러, 크롬, 파이어폭스, 사파리 등 다양한 웹 브라우저에서 모두 가능한 방법으로 실제 해당 웹 브라우저들을 노린 악성코드가 유포되고 있다.
6·25 정부기관 해킹 공격에 사용된 스크립트 DDoS 공격 등과 함께 해당 기법을 악용할 경우 웹 브라우저에서 탈출하는 것이 어렵기 때문에 장시간 DDoS 공격을 유지할 수 있다.
악성코드를 설치하지 않고 웹 브라우저에서 탈출하기 위해서는 윈도우 작업 관리자를 실행하거나, Process Explorer 등과 같은 별도의 프로세스 관리 프로그램을 이용해 다음 해당 웹 브라우저 프로세스를 강제로 종료시키는 방법이 있다.
웹 브라우저 별 프로세스 명
- 인터넷 익스플로러 (iexplore.exe)
- 크롬 (chrome.exe)
- 파이어폭스 (firefox.exe)
최상명 하우리 선행연구팀장은 “웹 브라우저 취약점을 이용해 사용자 몰래 악성코드를 감염시키는 것이 일반적인데, 이번에 새롭게 발견된 유형은 웹 브라우저에서 새로운 페이지로 이동 및 닫기 버튼을 눌러 종료를 시도하더라도 탈출이 불가능한 방법을 시용하여 사용자에게 스스로 악성코드를 설치하도록 유도하고 있다”며 “초보자들의 경우 당황하여 악성코드를 설치할 수 있는 데 그럴 때는 웹 브라우저를 강제 종료시키는 방법으로 해당 웹 브라우저에서 탈출할 수 있다”고 밝혔다.
