리그킷은 기존 공격도구인 레드킷(Red Exploit Kit), 씨케이 브이아이피킷(CK VIP Exploit Kit) 등에 비해 유포하는 악성코드 샘플을 수집하기가 어려운 것으로 알려졌다. 악성코드 샘플 확보가 보안대응 능력으로 이어지는 것을 고려하면 상황은 그리 좋지 않은 셈이다.

28일 보안업계에 따르면 주요 백신업체들이 새로운 형태의 공격도구 리그킷 대응에 총력을 다하고 있다. 현재 공격자들은 리그킷을 통해 파밍용 악성코드와 랜섬웨어 악성코드를 배포하고 있는 것으로 조사됐다.

최상명 하우리 차세대보안연구센터장은 “지난 26일부터 리그킷을 사용한 악성코드 배포가 지속적으로 발견되고 있다. 리그킷은 PHP세션아이디 인증을 기반으로 악성코드를 배포하는 새로운 형태의 공격도구”라며 “해당 악성코드는 공인인증서 탈취 등을 위한 파밍 기능과 함께 원격제어, 랜섬웨어 등의 기능을 갖추고 있는 것으로 나타났다”고 설명했다.

국내에서 흔히 사용되는 레드킷, 씨케이 브이아이피킷 등은 별도의 인증절차를 쓰지 않으며 동일한 악성코드 유포지를 지닌다. 동일한 주소에서 악성코드가 유포되기 때문에 하나의 샘플만 확보하더라도 봇넷서버와 명령제어(C&C)서버를 찾아낼 수 있다.

반면 리그킷은 기존의 공격도구들과는 동작형태가 다르다. 우선 코드가 자바스크립트가 아닌 PHP로 짜여져 있어 분석이 까다롭다. 특히 PHP세션아이디(PHPSESSID) 값을 사용해 동일한 세션 접속을 확인한 뒤 최종 악성코드를 유포하는 특징을 갖추고 있어 샘플 확보 자체가 쉽지 않다.

리그킷은 세션아이디의 호출과 응답을 통해 동일한 세션이라고 인식되지 않으면 악성코드를 배포하지 않는다. 리그킷으로 악성코드에 감염된 사용자가 악성코드 유포지 주소를 획득했더라도, 제3자가 접속할 경우 유효하지 않은 주소로 나오게 된다. 이는 세션아이디가 일치하지 않기 때문이다.

개인메일 첨부파일의 URL을 제3자가 브라우저에서 입력하더라도 아이디 인증을 받지 못했기 때문에 내려받을 수 없는 것과 유사하다.

또 리그킷은 사용자PC에 설치된 프로그램을 식별하는 기능도 갖추고 있다. 백신 등이 설치돼 있더라도 이를 무력화시킨 뒤 동작할 수 있다는 뜻이다. 이는 취약점 유무만 판단해 동작하는 레드킷, 씨케이 브이아이피킷 등과도 차별화 되는 점이다.

최 센터장은 “PHP세션아이디를 사용하기 때문에 악성코드 샘플 수집에 어려움이 발생하고 있다. 이때문에 전반적으로 국내 보안업체들의 대응이 늦어질 우려도 있다”며 “특히 백신과 같은 프로그램의 설치 유무를 파악하고 이를 회피할 수 있는 기능도 갖춰 새로운 대응책 마련이 필요하다”고 전했다.

이스트소프트도 리그킷 대응에 한창이다. 이 회사 관계자는 “해외에서 유행하던 ‘리그킷+랜섬웨어’가 얼마전부터 국내에서도 발견되고 있다. 지난 26일에 발견된 리그킷 악성코드는 파밍용 악성코드로 밝혀졌다”며 “새로운 공격형태로 대응에 일부 차질이 생길 수는 있으나 시간이 흐르면서 이러한 문제는 해결될 수 있으리라 본다”고 말했다.

한편 현재까지 알려진 리그킷 대표 취약점은 인터넷익스플로러(CVE-2013-2551, CVE-2014-0322), 어도비 플래시(CVE-2014-0497), 마이크로소프트 실버라이트(CVE-2013-0074), 오라클 자바(CVE-2013-2465, CVE-2013-2465) 등이다. 이는 윈도, 자바 업데이트를 통해 예방할 수 있다.

<이민형 기자>kiku@ddaily.co.kr