웹사이트 방문자 PC를 감염시키는 ‘드라이브 바이 다운로드(DBD)’를 통해 랜섬웨어 악성코드가 유포된 공격이 등장했으며, 지속적으로 재유포되고 있는 가운데, 향후 이러한 공격의 피해가 더욱 심각해질 것이라는 경고가 나왔다.
DBD는 웹사이트 방문만으로 악성코드에 감염되기 때문에 사용자의 주의만으로 막을 수 없다. 신·변종 악성코드가 공격에 사용되며, 수많은 호스트를 경유지로 이용하기 때문에 시그니처 기반 백신 솔루션이나 C&C 차단으로 막기도 어려운 상황이다.
크립토웨어, 광고서버 통해 재유포
빛스캔(대표 문일준)은 23일 현재 국내에서 확산되고 있는 랜섬웨어 ‘크립토웨어’에 대한 분석보고서를 통해 이 공격의 심각성을 알렸다. 크립토웨어는 21일 온라인 커뮤니티 클리앙을 통해 배포됐으며, 클리앙은 해당 공격을 인지하고 사용자에게 패치를 안내하는 등 피해 확산 방지를 위한 조치를 취했다.
그러나 5개 사이트 광고서버를 통해 여전히 재유포되고 있으며, 트위터로 리다이렉션되고 있다. 보고서는 “이번 공격은 국내에서 활동하는 금융정보를 노린 조직이 아니라, 전세계를 무대로 활동하는 랜섬웨어 공격집단이 공격대상을 한국으로 확대한 것으로 추정된다”고 설명했다.
타깃 국가 언어 포함된 랜섬웨어
이 공격은 좀비 PC의 IP 주소를 기반으로 사용자에게 보여주는 화면이 달라지는 것으로 확인됐는데, 일본IP에서 접속할 때는 일본어로 된 화면이 나왔으며, 터키 등 영문화권 이외의 지역도 포함됐다. 각 국가별 혹은 언어별로 암호화를 진행한 후 안내 문구를 크립토웨어에서 작성(생성)하는 것으로 확인됐다.
악성코드에 감염된 PC에서 주요 파일을 암호화하고 txt, html 파일을 해당 접속 국가에 맞는 언어로 생성시킨다. PC에서 사용하는 언어와 상관없이 IP 정보와 국가를 연동한 형태로 확인됐으며, 이는 글로벌 공격집단에 의한 것으로 분석된다.
크립토웨어와 관련된 경유지는 호스트와 도메인만 다를 뿐 모두 같은 ISP내 IP를 사용하는 것으로 확인됐으며, 경유지는 다양한 도메인을 사용하고 계속변형되고 있어 IP 차단을 통해 봉쇄해야 한다. 그러나 IP도 공격자의 의도에 따라 손쉽게 변경할 수 있기 때문에 지속적인 관찰이 필요하다.
보고서는 이번 공격은 DBD를 통해 진행됐으며, 한국의 유명 웹서비스를 직접 노렸다는 점에서 매우 심각한 위협을 갖고 있다고 평가했다. 또 한국어 버전을 준비해 확장한 것으로 볼 때 직접적인 공격 범위에 한국도 포함됐다고 할 수 있다.
공격 경유지는 네덜란드 IP였으며, 러시아와 동유럽에서 활동하는 공격그룹의 직접적인 영역 확장을 확인할 수 있다고 보고서는 밝혔다. HTTPS와 토르를 이용한 통신으로 해독이 어려우며, 감염에 이용되는 악성파일은 수시로 변경할 수 있어 백신이나 C&C 차단으로 공격을 막을 수 없다.
“최신 취약점 이용 DBD 공격 가능”
보고서는 “최근 DBD를 이용한 공격이 지능화되면서 모바일과 유선 인터넷까지 통합한 10여가지 이상 취약성 공격이 발생되는 심각한 단계에 도달한 상황”이라며 “매주 악성코드 감염에 이용되는 공격링크는 200~300여개에 이르며, 수천여개의 서비스를 이용해 악성코드를 유포한다”고 설명했다.
국내 사이트를 통해 감염시킨 취약점은 인터넷익스플로러(IE)와 플래시의 오래된 취약점이었지만, 앞으로 신규 취약점을 이용하면 피해는 걷잡을 수 없이 심각해질 것으로 보인다. 한국 사용자를 타깃으로 하는 또다른 공격그룹이 등장하면서 대규모 유포망을 이용한 공격이 나타날 가능성이 높으며, 해외에서처럼 Mac과 모바일 사용자 모두를 대상으로 공격이 발생할 수 있다.
빛스캔 보고서에서는 “악성코드의 유포지로 이용되는 웹서비스를 관찰하고 대응하지 않으면 해결책은 없다. 국내 주요 웹서비스를 대상으로 발생되는 유포 통로를 모니터링해야 한다. 랜섬웨어의 웹서비스를 통한 자동감염은 국내 인터넷 환경의 문제들과 대응의 문제점을 직시하게 해줄 것”이라고 강조했다.
