순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 국내 PC사용자를 대상으로한 새로운 공격 도구인 리그키트(RIG Exploit Kit)를 사용해 악성코드가 처음으로 유포되기 시작했다고 27일 밝혔다.
중국이 진원지로 추정되는 이들 조직은 2011년부터 최근까지 지속적으로 국내 인터넷 뱅킹을 위한 파밍 공격용 악성코드를 유포해 왔다.
국내 사용자를 공격하는 이 조직은 대표적인 웹 악성코드 유포방식인 드라이브 바이 다운로드 형태로, 공다팩, 레드키트, 씨케이 브이아이피 키트 등을 사용해 악성코드를 유포해왔으며, 현재는 씨케이 브이아이피 키트를 이용해 악성코드를 유포하는 추세이다.
센터는 익스플로잇 키트 외에도 리그키트를 사용해 파밍과 원격제어 악성코드가 유포되고 있는 것을 발견했다.
리그키트는 해외에서 많이 사용하는 익스플로잇 키트로 PC의 특정 경로에 파일이 존재하는지 확인하고, 실버라이트와 자바, 플래쉬 취약점을 이용해 악성코드를 유포하는 형태이다.
기존에 사용하던 익스플로잇 키트는 난독화된 코드의 복호화 과정이 자바스크립트(JavaScript)로 되어 있어 비교적 쉽게 코드 분석이 가능했으나, 리그키트는 그 과정이 PHP로 되어 있어 코드 분석이 어렵고, 공격자가 지정한 특정 값(PHPSSESID)을 다른 페이지에서 확인한 후 최종 악성코드를 유포하는 것이 특징이다.
리그키트를 사용해 악성코드를 유포한 것은 이번이 처음 발견된 점에서 주목된다. 사용자가 접근한 이전 페이지(네이버, 구글, 다음)를 확인해 악성코드를 감염시키는 등 악성코드 유포 방식이 지능화되고 있는 것으로 추정된다.
염흥열 SCH사이버보안연구센터 센터장은 “국내를 위협하는 이 조직이 리그키트를 악성코드 유포에 사용한 것은 처음이다”라며 “해당 조직이 악성코드 탐지를 우회하기 위한 새로운 도구를 이용해 유포방식이 진화하고 있는 추세에 대한 대응 기법 개발이 요구되며, 사용자들은 최신 버전으로 업데이트로 악성코드 피해를 최소화해야 한다”고 말했다.
