안보 관련 연구소 대상 표적공격 (워터링 홀) 5월16일 발생- 기사원문

* 본 내용은 5.16일 발생된 내용에 대해 기사제공한 원문입니다.

안보 관련 연구소 대상 표적공격 (워터링 홀) 5월16일 발생

 

특정 대상들만이 주로 방문하는 사이트를 대상으로 한 악성코드 감염 시도를 워터링홀 (Watering Hall) 공격이라 부른다. 즉 일반인들이 상시적으로 방문하는 사이트들이 아니라 특정 계층이나 관련된 인사들만이 접근하는 사이트들에 악성코드 감염을 유도하도록 하는 공격을 말한다. 국내에서는 이미 2005년부터 게임관련 유저를 대상으로 발생된 사례가 있으며, 최근 해외에서도 웹서비스를 방문한 하여도 감염되는 이른바 Drive By Download 공격이 큰 이슈가 되고 있는 상황이다. 국내의 상황은 매주마다 비일비재하게 발생되고 있으나, 해외에서의 공격보다 더 큰 범위의 공격이 불특정 다수를 대상으로 매주 활발하게 발생되고 있는 상황에 처해있다.

 

연휴를 하루 앞둔 2013년 5월 16일에 국내 안보 관련 주요 연구소를 대상으로 한 표적공격이 발견 되었으며, 이중 공격 대상을 안보관련 연구소로 한정 한 것 이외에도 몇 가지 의미심장한 이슈들이 발견 되었다. 안보관련 주요 연구소들의 웹서비스들을 일반 방문자가 방문하는 비율은 그리 많지 않을 것이며, 업무와 연관된 사람들이 방문하는 것이 일반적이라 보았을 때 감염 대상을 한정하여 공격한 워터링 홀로 정의 할 수도 있을 것이다.

 

현재 발견된 공격대상은 최소 4개의 안보관련 연구소들이며, 추가적인 공격 대상들은 더 있을 수 있다. 그러나 PCDS (Pre Crime Detect Satellite)에서 탐지된 범위는 현재 4곳으로 한정 되어 있다. 공격이 은밀하게 진행되고 있으며, 사전 작업들도 일정 수준 진행된 것으로 확인 되고 있다.

 

주요 웹서비스들의 소스를 변경하여 추가된 악성링크는 현재 두 가지 종류이다. 한 종류는 단축 URL이 사용되어 결국에는 두 종류 모두 동일한 악성링크를 실행 하도록 하고 있다. 단축 URL의 악성링크 활용은 이미 오래 전부터 문제로 지적된바 있으나, 모바일 영역의 악성앱 설치를 위한 단축 URL 이외에 PC 영역에서 사용되는 악성링크를 단축 URL을 사용한 것은 매우 의미심장한 사안이라 할 수 있다. 탐지를 회피하기 위한 수단으로 이용 되었기 때문이다.

 

공격대상 서비스는 한국군사문제연구원 , 한국안보문제연구소, 한국전략문제연구소 , 한국해양전략연구소이며, PCDS 상에서는 현재 4곳의 연구소들이 공격대상으로 탐지가 되어 있다. 일반인들은 평상시에 접근할 일이 거의 없는 특화된 연구소들이라 할 수 있을 것이다.

 

공격자들은 이 네 곳의 웹서비스들에 대해 모든 권한을 가진 상태에서 웹서비스의 소스를 변경하여 악성링크를 모든 방문자들에게 자동으로 실행하도록 구성하였다. 웹 서비스의 화면을 변경 하는 것이 아니라 대상을 한정한 악성코드를 감염 시키기 위한 목적으로 이용한 상황이다.

 

방문자 PC를 공격하는데 이용된 취약성은 Java 관련 취약성 두 종류가 이용 되었으며 해당 취약성은 CVE-2013-2423과 CVE-2013-1493 취약성이 사용 되었다. (해당 취약성들의 상세한 내용에 대해서는 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1493 에서 확인이 가능하다. ) 

 

공격에 이용된 악성링크는 이미 4월에 PCDS를 통해 등록된 악성링크였으며, 해당 악성링크는 4월 발견 당시에는 공격기능이 포함되지 않은 비정상적인 링크로서 구분이 된 상태였으나 이번 5.16일에 공격코드가 추가되어 영향을 미친 상태라 할 수 있다. 즉 5.16일 이전에도 여러 번 공격이 있었다는 반증일 수도 있을 것이다.

 

4월에 최초 발견된 악성링크는 www.XXXX.com.tw/images/header.js 링크였다. 해당 악성링크는 현재 이슈가 발견된 최소 4곳의 안보관련 연구소들 중 일부에 포함이 되어 있는 상태에서 발견이 되었다. 공격링크의 내용이 비어있는 상태를 유지하다가, 5.16일에 header.js 파일내의 내용에 공격코드가 포함됨으로써 실질적인 공격이 발생 된 상황이라 할 수 있다. 이미 PCDS 상에서는 등록된 악성링크라 4월 이후에도 여러 차례 공격이 발생 되었을 것으로 추정된다. 감염 이후 설치되는 바이너리는 백도어 유형으로 추정된다.

 

<한국군사 문제연구원 – 구글 단축 URL 연결 이후 대만 도메인의 악성링크로 연결됨>

<한국안보문제 연구소 – 대만 악성링크가 직접 이용됨>

<한국전략문제 연구소 – 구글 단축 URL을 통해 대만 도메인의 악성링크 실행>

<한국해양전략연구소 – 대만 도메인의 악성링크 직접 활용>

 

Java 관련 공격이 실행될 때 이용되는 공격코드의 일부 내용은 다음과 같다.

 

<html><head></head><body><applet archive="OS7aOmC5UPE2iQDJ.jar" code="Init.class" width="1" height="1"></applet><applet archive="0DUIOMCiPZUXfBvE.jar" code="Xxploit.class" width="1" height="1"></applet></body></html>

 

현재 확인된 최소 4곳의 안보관련 연구소들과 대만에 위치한 악성링크에 대해서는 차단이 완료되고 추가 대응조치가 진행 중에 있음을 확인하였다.

주요 시사점으로는 국내 주요기관을 대상으로 한 이메일 첨부형 APT이외에도 워터링홀과 같이 방문자가 한정된 서비스를 대상으로 하여 감염 시키는 표적형 감염 공격이 심각한 상황이며, 이메일에 비해 보호할 수 있는 체계가 빈약한 웹을 통한 감염이라 대응 방안이 많지 않다는 것이다.

 

또한 탐지 회피를 위해 사전에 악성링크를 만들어 두고, 공격 시점에만 공격코드를 추가하는 형태와 같은 지능적 공격 및 단축 URL을 이용한 탐지회피 시도가 발견 되었다는 점을 들 수 있다.

 

국내 주요기관과 기업을 대상으로 한 집요한 공격들은 현재도 계속되고 있으며, 수면 위의 고요함과는 다르게 아주 치열한 공격들은 보이지 않는 곳에서 지금도 진행 되고 있는 상황이다. 더군다나 3.20 테러를 당하고 이제서야 간신히 향후 대응 방안을 제시하려는 시점에서도 공격이 계속 된다는 점은 심각한 우려를 하게 한다.

 

악성코드를 대량으로 감염시키는 매커니즘은 모든 방문자를 대상으로 감염을 시키는 상황에서 발생된다. 취약한 웹 사이트에 공격자가 인위적으로 수정하여 추가한 악성링크(비정상링크)를 통해서 대량 유포된다는 점이다. 웹서비스의 권한을 장악한 진입통로를 막지 못한다면 3.20 이슈와 같은 상황은 수시로 발생 될 수밖에 없다. 특히 대상이 한정된 공격의 경우, 정보유출의 범위가 폭넓고 전문적인 자료들이 유출될 것임은 분명한 일이다.

 

악성코드 유포를 위해 취약한 웹 서비스들에 대량으로 악성링크를 삽입하여 이루어지는 공격은 여전히 활발하게 이루어지고 있음은 물론이고, 정상링크와 단축 URL을 활용한다는 것은 탐지장비 및 전문가들도 판단하기 어려운 상황이다. 일반 사용자들은 악성링크가 삽입된 사이트에 방문만 하더라도 해당 웹 페이지에 삽입된 링크로 연결되어 자신도 모르는 사이에 악성코드에 감염되는 Drive-by download 공격에 노출될 수밖에 없다. 이것이 현재 우리가 처한 상황이다.

 

정상 페이지로부터 자동 접속되는 악성링크는 사용자 PC의 다양한 어플리케이션의 취약점을 이용하여 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다. 또한 초기 설치되는 악성파일들은 국내에서 사용되는 주요 백신을 우회하도록 제작되어 있어 초기 대응은 사실상 어려움이 많다.

 

모든 악성링크가 추가된 모든 웹서비스 (경유지) 방문자를 대상으로 공격은 발생되며, 접속하는 브라우저가 해당 취약점 중 한가지 취약점에만 노출되어도 감염되고 좀비PC가 된다. 감염이 된다면 PC의 모든 권한이 공격자에게 넘어간 상태가 되고, 추가적인 피해로 이어질 수 있다.

 

대책측면에서는 악성코드를 유포한 사례가 있는 웹 서비스는 자체적인 보안대책을 강구하기 어렵다면, 전문기관/기업의 협조를 받아 문제의 원인을 찾아 해결해야만 한다. 근원적인 원인을 찾아 대응하지 않는다면, 끊임없는 악성코드 유포 이슈와 내부 정보유출의 위험을 항상 우려해야만 할 것이다.

 

사고 신고: http://www.krcert.or.kr/kor/consult/consult_01.jsp

웹보안 서비스 참고: http://www.krcert.or.kr/kor/webprotect/webprotect_01.jsp

 

 

빛스캔은 국내 150만개, 해외 30만개 등 매일 180여만개의 웹사이트에서 발생하는 악성코드 유포 및 경유 사례를 실시간으로 관련 정보를 수집 분석하고 있으며, 매주 수요일 한국 인터넷 위협 상황에 대해 브리핑, 동향정보, 기술정보로 분류된 정보제공 서비스를 가입기업/기관에게 제공하고 있다. 브리핑에 대한 요약은 무료로 제공이 되고 있으며 info@bitscan.co.kr 로 신청 할 수 있다.