의료분야 사용자들이 많이 찾는 의료관련 사이트에 악성코드를 삽입해 개인의 의료정보를 빼내는 공격이 극성을 부리고 있다.
빛스캔이 29일 발표한 보고서에 따르면 의료분야를 타깃으로 하는 악성코드 유포 공격은 공격자 서버에서 따로 관리되고 있으며, 크고 작은 의료관련 사이트에서 악성코드가 계속 유포되고 있는데, 해당 기관에서는 이에 대한 대응을 제대로 하고 있지 않은 상황이다.
공격자는 의료 분야 사용자들이 많이 찾는 의료 관련 사이트에 악성링크를 삽입해 사용자가 방문만 해도 악성코드를 자동으로 다운로드 할 수 있도록 유도한다. 취약한 사용자가 사이트에 방문하여 PC에 악성코드가 감염되면 해당 악성코드는 공격자와의 연결을 시도하고, 공격자는 감염된 PC를 마음대로 조정할 수 있게 되는 좀비PC가 되며, 이로 인해 사용자의 PC의 중요한 자료 및 개인정보를 탈취당할 수 있는 가능성이 존재한다.
악성코드 유포지/경유지에 이용된 의료관련 사이트를 살펴보면 대형 병원부터 소규모 병원과 의료관련 커뮤니티까지 다양한 부분에 걸쳐서 유포가 발생됐다. 대형병원은 보안인력이 있기 때문에 문제를 수정하는 등 신속한 대응이 가능하였지만, 소규모 병원은 짧게는 1주일에서 길게는 1달 이상 이용되고 있었다.
최근에는 대표적인 의료뉴스 사이트 홈페이지에서 악성링크가 삽입돼 있는 정황이 발견됐다. 이 사이트는 일반 사용자뿐만 아니라 의료분야 종사자가 유입되는 비율이 높다. 해당 사이트에 삽입돼 연결되는 악성링크는 총 2번에 걸쳐서 공격도구가 교체됐다. 첫번째는 기존에 국내에서 활발히 활동중인 카이홍이 사용됐고, 두번째는 지난 9월에 국내에 첫 유입이 확인되었던 스위트 오렌지 키느로 확인됐다.
이 공격키트의 공통된 점은 최근에 성행하고 있는 금융정보 탈취 악성코드를 최종적으로 다운로드하며, 감염된 사용자를 관리할 수 있는 프로그램을 공격자 서버 내부에서 직접 감시하고 있다는 점이다. 최근 웹을 통한 악성코드 유포를 통해 공인인증서 유출이 많이 발생하고 있으며, 의료 종사자 PC가 감염된다면 의료 관련 공인인증서 유출과 같은 피해가 발생할 가능성도 있다.
APT 공격은 기존의 공격들은 알려지지 않은 악성코드를 이용해서 공격을 시도하기 때문에 공격 성공률이 매우 높으며 치밀하고, 기존 솔루션에 의해서 차단될 가능성이 매우 낮기 때문에, 치명적이며, 공격의 패러다임을 바꾸고 있다. 보다 전문화된 악성코드 실시간 탐지를 활용하여 취약한 웹 사이트를 찾아내어 사후가 아닌 사전에 차단 되어야 한다.
기존의 보안 솔루션은 알려진 악성코드 만을 대응할 수 있도록 설계돼 있어서 보안 솔루션을 우회 하는 공격에는 취약할 뿐만 아니라 당할 수 밖에 없는 현실에 직면해 있으며, 사전 대응이 아닌 사후 대응에 초점이 맞춰져 있다.
빛스캔 관계자는 “내부 망의 악성코드의 유입을 방지하고, 외부의 APT 공격에 대응하기 위해서 기존 보안 솔루션만으로는 부족하다. 왜냐하면 APT 공격은 기술적 고도화와 정교함이 대단히 위력적이며, 대응하기 위해서는 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응이 이루어져야 하는 종합적인 대응이 필요하다.”고 말했다.
