직장인 A씨는 월요일 아침 출근 후 야구 동호회 게시판에 새로운 글이 등록됐다는 이메일을 확인하고 링크를 클릭해 게시글을 확인했다. 그런데 링크된 게시판에 악성링크가 숨어있었으며, A씨의 컴퓨터는 악성코드에 감염되고 말았다.
A씨가 근무하는 회사 메일서버에는 악성링크나 악성파일을 차단하는 기술이 있었는데도 감염을 피할 수 없었다. 이메일이 도착한 시점에 해당 페이지에는 악성링크가 없었으며, A씨가 이메일을 열어보는 시점에 악성링크가 있었기 때문이다.
즉 해커가 주말에 타깃 사용자에게 정상적이고 안전한 사이트를 링크한 이메일을 보내면, 해당 메일에 위협이 없기 때문에 메일서버는 정상적인 메일로 간주한다. 해커는 월요일 새벽 링크된 사이트에 악성코드를 심거나 악성링크를 숨겨 사용자 PC를 몰래 감염시키는 방식이다.
사이트에 방문하기만해도 악성코드에 감염되는 공격이 진화를 거듭하고 있다. 이같은 방식의 공격은 불특정 다수를 감염시키기 위한 드라이브 바이 다운로드와 특정 타깃 집단을 감염시키기 위한 워터링 홀이 있다.
공격자들은 사이트 관리자 권한을 탈취한 후 악성링크나 악성코드를 쉽게 추가했다가 삭제하는 것을 반복할 수 있다. 웹 페이지 취약점을 모니터링하는 기관이나 솔루션이 실시간으로 취약점을 탐색하지만, 완벽한 조치가 이뤄지지 못한다. 제로데이 공격처럼 특정 페이지에 공격이 있다는 사실을 알게된 기업/기관의 관리자가 조치를 취하려 할 때에는 이미 악성코드/악성링크가 사라져 있을 수 있다.
이상혁 웹센스코리아 지사장은 “해커들은 악성코드와 악성링크를 자유롭게 삽입하고 삭제할 수 있으며, 사회공학적 기법을 이용해 교묘하게 사용자를 유인할 수 있다”며 “지능적인 공격을 막기 위한 대응책이 절실하다”고 말했다.
정부 차원의 강력한 대응 시급
웹 페이지나 소프트웨어 보안 취약점을 이용한 공격을 방어하기 위해 여러가지 대안이 제시되고 있지만, 대부분 사용자의 주의를 당부하거나 사이트 관리자의 책임에만 의존하고 있다.
물론 관리자 책임이 매우 중요하다. 많은 기업/기관에서 자사 사이트에 공격이 있다는 사실을 알고도 적절한 조치를 취하지 않고 있기 때문이다.
공격이 매우 교묘하게 이뤄지기 때문에 관리자의 노력에만 의존할 수 없다. 웹 페이지 자체는 안전하다 해도, 광고 배너와 같이 다른 조직/기관에서 제작한 콘텐츠에 악성링크가 숨어있다면 해결하기 어렵다.
문제 해결을 위해서는 정부 차원의 대응이 반드시 필요하다. 삼진아웃제와 같은 방법을 사용해 악성링크가 반복적으로 발생하는 기업/기관에 경고를 내리거나 벌금을 부과하는 등 불이익을 주는 것도 방법이다. 일정한 시간 내에 악성링크에 대한 조치를 취하지 않을 경우 이를 공개해 기업의 신뢰도에 영향을 미치게 할 수 있다.
ISP의 노력도 필요하다. 해당 공격이 해외 서버에서부터 시작된다면 이 주소를 차단해 국내로 감염이 확산되는 것을 막을 수 있다.
이를 위해서는 신뢰할 수 있는 전문조직이 상시대응팀을 구성해 웹 사이트 모니터링과 침입·위협 관련 정보를 실시간으로 제공할 수 있어야 한다. 국내에서 KISA가 관련된 서비스를 제공하고 있지만, 위협이 발견돼을 때 조치를 강제할 수 있는 권한이 없어 단지 권고에만 그칠 뿐이다.
전상훈 빛스캔 이사는 “웹사이트 방문만으로 감염되는 공격을 막기 위해서는 전문 기관의 상시 모니터링과 강력한 법안 마련이 필요하다”며 “무엇보다 중요한 것이 사이트 운영 기업/기관의 적극적인 노력이다. 웹 사이트 전반에 대한 철저한 진단과 문제 해결, 소스코드의 보안 취약점 제거 등을 반드시 실행해야 한다”고 말했다.
