한국수력원자력(한수원) 해킹 관련, 지난 7월 워터링홀 공격을 통해 한수원 임직원들이 악성코드에 감염됐을 가능성이 제기됐다.
빛스캔(대표 문일준)이 29일 발표한 보고서에 따르면, 7월 여행사 사이트의 한수원 내부직원을 위한 전용 웹사이트에서 악성코드가 유포된 정황이 확인됐다. 지금까지 한수원 해킹은 이메일을 통한 악성코드 감염(스피어피싱)으로 분석되고 있으며, 웹사이트 악성코드를 통한 타깃 공격(워터링홀)이 원인일 것이라고 분석한 것은 빛스캔이 처음이다.
빛스캔의 보고서에서는 당시 여행사 웹사이트에 악성링크가 삽입된 후 관련된 사이트와 연관된 사이트에 동시에 같은 악성링크가 삽입돼 있었다. 이 과정에 한수원 임직원만 이용하도록 제작된 사이트가 포함돼 있어 보안이 취약한 PC를 통해 이 페이지에 방문하면 악성코드가 감염될 가능성이 높다.
공격코드를 분석한 결과 자바, 어도비 플래시, 윈도우 등 8개의 취약점을 노린 차이홍 익스플로잇킷이 활용됐으며, 공격킷에 언급된 취약점 중 하나만 패치가 되지 않았더라도 바로 악성코드에 감염된다.
악성링크의 영향을 받은 사이트는 해당 여행사와 대형 쇼핑몰 등 7곳 이상이며, 전체 연결된 서비스가 영향을 받았을 가능성이 높다. 서버의 권한을 획득한 상태에서 서브 페이지까지 모두 영향을 줄 수 있기 때문이다.
감염에 이용된 악성코드는 파밍과 공인인증서 탈취 기능을 갖고 있는 트로이목마로, 내부에 있는 정보를 빼내갈 수 있도록 원격관리툴(RAT)이 설치된다. 국내에서 많이 이용되는 gh0st RAT은 화면 캡처, 파일 전송, 레지스트리/서비스, 명령창 실행 등 거의 모든 기능을 수행할 수 있다.
