[디지털데일리 이민형기자] 최근 기업들의 웹사이트를 감염시켜 일반 사용자를 대상으로 악성코드를 배포하는 공격이 국내를 비롯해 세계적인 화두로 떠오르고 있다.

지난 2월 애플, 페이스북, 트위터 등이 해킹으로 인해 악성코드 배포지로 전락한 사건이 여기에 해당된다. 시만텍 등 글로벌 보안업체들은 이를 ‘워터링홀’ 공격으로 규정하고 향후 이러한 공격이 더욱 증가할 것으로 내다봤다.

워터링홀 공격이란 알려지지 않은 취약점을 활용해 사용자를 노리는 공격 기법으로 제로데이 악성코드를 특정 웹사이트에 심어두고, 여기에 접속할 시 악성코드가 사용자PC로 배포되는 것을 뜻한다.

사자가 먹이를 잡기 위해 물웅덩이(Watering Hole) 근처에 매복하고 있다가 먹잇감이 물에 빠지면 이를 공격하는 것에서 유래됐다.

‘드라이브 바이 다운로드(Drive by Download, DBD)’ 공격과 유사하지만 특정타깃을 대상으로 악성코드 배포뿐 아니라 추가 공격을 위한 ‘백도어’설치 여부로 구분된다.

◆국내에선 2005년부터 등장해 확산 추세=국내에서 워터링홀 공격의 역사는 깊다. 좀 더 정확하게 표현하면 오래전부터 ‘DBD 공격’을 받아왔다고 표현할 수 있다.

DBD 공격은 워터링홀 공격과 유사하지만 단순하게 사용자의 정보를 탈취하기 위한 수단으로 사용돼 왔다. 지난 2005년 국내에 처음으로 등장한 것으로 특정 게임의 홈페이지에 악성코드를 심어, 사용자들의 계정을 탈취했다.

전상훈 빛스캔 이사는 “국내에서는 오래전부터 웹을 통한 공격이 성행했다. 국내에서 온라인게임이 급성장하는 시기에는 게임사이트 악성코드를 심어 계정을 탈취하는 등의 사례가 다수 발견됐다”며 “이러한 현상이 지금까지 이어지고 있는데, 최근에는 특정 사용자들을 노리는 공격이 등장하고 있다”고 말했다.

빛스캔의 인터넷위협동향 보고서를 살펴보면 사용자를 특정할 수 있는 사이트들의 감염을 확인할 수 있는데, 공무원시험 준비사이트, 어학시험 준비사이트 등에서 공통적으로 악성코드가 발견됐다.

전 이사는 “공무원시험 준비사이트들에 접근하는 사용자들은 대부분 공무원시험을 준비하는 이들일 것이다. 특정계층을 노리는 공격들이라고 분석할 수 있다”고 설명했다.

◆워터링홀 공격, 막을 방법 없다?=?DBD 공격의 경우 일부 사용자들의 피해에서 그칠 수 있으나, 워터링홀 공격은 추가피해를 피할 수 없어 심각하다.

워터링홀 공격의 경우 악성코드 배포를 통해 궁극적으로 백도어를 설치하게 되고, 해커는 이를 통해 데이터유출이나 파괴행위를 감행할 수 있다. 이른바 APT(지능형지속가능위협) 공격의 위협이 웹으로까지 확대됐다고 해석할 수 있다.

특히 해커들은 제로데이 취약점을 악용해 악성코드를 웹페이지에 삽입하게되는데, 이를 일반사용자가 탐지해낼 수 있는 방법은 전무하다.

실제 얼마전 한 인권 단체 웹사이트의 스크립트에서 PC를 감염시킬 수 있는 코드 한줄이 발견됐다. 공격자는 웹사이트 방문자들을 감염시키기 위해 인터넷익스플로러의 제로데이 취약점을 이용했다.

그 결과 500개의 대기업과 정부기관에 근무하는 임직원들이 이 사이트를 방문했고 감염 위험에 노출됐다.

이러한 공격은 우선 웹사이트 보안을 강화해 악성코드가 배포되는 근본적인 원인을 제거해야 한다. 시큐어코딩과 같은 도구를 사용해 취약점을 해결하고 웹방화벽 등을 통해 웹사이트 변조, 악성코드 삽입 등을 차단해야한다.

그러나 국내에서는 여전히 이에 대한 인식이 부족한 것이 사실이다. 전 이사는 “웹에 대한 취약점은 높아지고, 공격은 더욱 거세지는데 이를 막으려고 하는 의지는 없다”며 “기본적으로 시큐어코딩 적용, 웹방화벽 도입만 하더라도 기본적인 공격은 막을 수 있다”고 강조했다.

사용자들은 운영체제(OS), 웹브라우저, 자바, 어도비플래시 등의 보안업데이트를 진행해야 하지만 보안 패치가 나오지 않은 제로데이 취약점을 악용할 경우 이를 차단할 수 있는 방법이 없어 위험은 쉽게 사그라지지 않을 것으로 보인다.

<이민형 기자>kiku@ddaily.co.kr