파이어아이코리아(대표 전수홍)는 국내 대형 언론사 웹사이트를 통해 악성코드가 유포되고 있으며, 이는 온라인 광고를 제공하는 외주 광고업체 서버가 공다 익스플로잇 킷에 의해 악용된 것이라고 17일 밝혔다.
해당 사이버 공격은 웹사이트 방문자의 금융 정보 탈취를 목적으로 파밍 악성코드를 이용했으며, 이로 인해 수 천명의 금융 정보가 노출 위협에 휩싸였다고 전했다.
공다 익스플로잇 킷을 이용한 이 공격은 인터넷 광고를 통해 악성 코드 배포하는 전형적인 멀버타이징 방식을 이용했다. 실제로 외주 광고 업체가 국내 언론사 웹사이트에 제공하는 광고 HTML에는 악의적인 아이프레임 스크립트가 삽입돼 있었으며, 이는 웹사이트 방문자를 공다 익스플로잇 킷의 랜딩페이지로 유인한다.
공격이 성공적으로 이뤄지면 피해자의 컴퓨터에 프록시 자동구성(PAC) 설정을 변경해 피싱사이트 접속을 유도하는 악성코드인 블랙문을 다운받는다. 블랙문은 금융 트로이목마 악성코드로 피해자의 인터넷 뱅킹 계정 혹은 OTP와 비밀번호와 같은 금융 정보를 탈취한다.
파이어아이에 따르면, 현재 감염된 언론사 웹사이트를 방문한 수 천명의 방문자들이 블랙문 악성코드에 의해 금융 정보 노출 위협에 처했다고 전했다.
공다 익스플로잇 킷은 한국을 집중적으로 타깃하는 익스플로잇 킷으로, 파이어아이는 2016년 1월부터 4월 말까지 공다 익스플로잇 킷에 노출된 사용자의 국가별 분포를 조사한 결과, 90% 가량이 국내에 집중돼있었다고 밝혔다.
공다 익스플로잇 킷은 자바, 인터넷익스플로러, 플래시 취약점을 주로 이용하는데, 이번 공격에서는 앵글러 익스플로잇 킷의 취약점 일부를 복사해서 사용했다는 점에서 주목할 만 하다.
파이어아이는 공다 익스플로잇 킷을 이용한 국내 사이버 공격의 배후에 중국 기반 사이버 그룹이 있다고 추정하고 있다. 해당 조직은 주로 경제적 이익을 목적으로 하고 있으며, 지속적으로 공격 수단과 소셜 엔지니어링 기법을 발전시켜 나가고 있다. 파이어아이는 해당 조직이 국내 사용자를 대상으로 공다 익스플로잇 킷을 이용한 사이버 위협을 지속할 것이라고 예상하고 있다.
