[디지털데일리 이민형기자] 최근 금융권의 개인정보유출 사고로 인해 널리 알려지진 않았으나 지난주 포털사이트 코리아닷컴내 일부 페이지가 변조돼 악성코드를 유포하는 정확이 포착됐다. 코리아닷컴을 통해 유포된 악성코드는 전자금융사기를 위한 파밍용 악성코드로 밝혀졌다.

문제는 해당 악성코드에 대응할 수 있는 방법이 전무하다는 점이다.

오라클 자바(JAVA), 마이크로소프트 인터넷익스플로러(IE), 어도비 플래시 등에 대한 보안 업데이트를 하지 않았을 경우 100%의 확률로 감염된다. 신·변종 악성코드이기 때문에 백신으로는 탐지가 불가능하다는 부분도 주목해야 한다.

사용자는 단지 웹서핑을 하고 있을 뿐인데 악성코드에 감염돼 좀비PC가 된다. 더 나아가 트로이목마, 다운로더(Downloader) 형태의 악성코드들은 사용자PC에 저장된 각종 데이터를 탈취하고 전자금융사기의 피해자를 만들어낸다.

하지만 이러한 위험성을 인지하고 있는 사용자는 그리 많지 않다. 많은 사용자들이 백신만 설치한다면 이러한 위협을 모두 대응할 수 있을 것이라 믿고 있다.

웹의 위험성은 점차 높아지고 있다. 해외 보안업체들도 지난 2012년부터 드라이브 바이 다운로드, 워터링홀 공격처럼 특정 웹사이트에 악성코드를 심어놓고 접속할 시 유포되는 방식이 성행하고 있다고 주의보를 내린 바 있다.

국내에서는 지난 2005년부터 아이프레임(iframe) 등을 이용한 드라이브 바이 다운로드 공격이 발견됐으며 현재는 하루에도 수 십건의 악성코드가 웹을 통해 전파되고 있다.

전상훈 빛스캔 이사는 ‘웹’이 악성코드가 유입되는 가장 위험한 통로라고 강조했다.

전 이사는 “악성코드 유입은 크게 외부저장매체(USB 등), 이메일, 웹으로 볼 수 있다. 하지만 이중 통제가 불가능한 것은 웹”이라며 “USB는 매체통제로, 이메일은 내부 유입 전 검사로 통제할 수 있다. 하지만 웹은 단 몇 초의 지연도 어렵다. 이 상황에서 악성 유무를 검사한다는 것은 불가능한 일”이라고 강조했다.

◆악성코드, 어떻게 유포되고 운영되나=공격자는 자신의 위치를 들키지 않고 악성코드를 배포하려고 한다. 그러기 위해서는 경유지와 유포지를 확보할 필요가 있다.

경유지는 악성링크를 통해 감염시키는 통로로 멀티스테이지(공격코드+또 다른 공격 링크)나 싱글스테이지(공격코드)로 이뤄진 비정상 링크를 뜻한다. 접근만 하면 그 즉시 악성코드에 감염될 수 있도록 HTML, PHP, JS 등의 언어로 작성돼 있다.

경유지는 보안이 취약한 모든 사이트(웹페이지)에 삽입될 수 있다. 오승택 빛스캔 과장은 “경유지는 공격자가 우회를 하기 위한 수단으로 사용되기 때문에 보안이 취약한 모든 사이트에 삽입돼 악용될 수 있다. 흔히 공격자는 다양한 경유지를 확보해놓고 발각될 때마다 경유지를 변경하는 형태로 공격을 진행한다”고 설명했다.

경유지는 악성코드를 유포지로 전달하는 역할만 하기 때문에 직접적인 위험은 적다. 하지만 보안 취약점이 있다는 사실은 변하지 않기 때문에 유포지로 전환될 가능성도 높다.

유포지는 실제 사용자의 PC를 공격하는 사이트다. 사용자가 유포지로 전락한 사이트에 접속하면 그 즉시 공격코드가 동작, 악성코드에 감염되도록 한다. 광고서버에서 광고를 받아오는 것처럼 경유지에서 공격링크를 받아온다는 것이 핵심이다.

실례를 살펴보자. 지난해 말 H경제지는 악성코드 유포지로 악용된 바 있다. 공격자는 ‘fds***.com’ 사이트를 경유지로 삼고 해당 사이트에 공격코드를 심었다.

이후 H경제지를 해킹해 H경제지에 접속하는 모든 사용자들을 대상으로 공격을 감행했다. 발각을 어렵게 하기 위해 ‘common.js(웹페이지를 불러오면 자동으로 읽게 되는 스크립트)’와 같은 형식으로 만든 것도 주목할 만하다.

해외사례로는 올해 초 밝혀진 야후 광고서버를 통한 악성코드 유포가 이와 같은 형태의 공격으로 볼 수 있다.

또 공격자는 경유지, 유포지 외에 명령제어(C&C) 서버를 운영한다. C&C서버는 악성코드에 감염된 PC에 대한 악성행위를 통제하는 기능을 한다.

예를 들어 사용자PC에 다운로더 형태의 악성코드가 감염됐다고 가정하자. 다운로더 악성코드는 감염당시에는 아무런 악성행위를 하지 않는다. 하지만 C&C서버와 통신을 시작하면 추가적인 악성코드를 내려받아 사용자PC를 장악하게 된다. 메모리해킹, 파밍 공격 등이 이러한 형태로 이뤄진다.

◆얼마나 많은 사이트들이 감염되고 있을까=현재도 공격자들은 국내 인터넷 사이트를 돌아다니며 경유지와 유포지를 만들어 악성코드를 유포하고 있다.

오 과장은 “일주일동안 발견되는 유포지는 약 3000건으로 대상 사이트는 언론사, 웹하드, 쇼핑몰 등 방문자가 많은 곳이라면 어디든지 악용되고 있다”고 설명했다.

또 공격자들은 공격의 효과를 극대화하기 위해 카운트링크(방문자의 수를 측정하는 도구)를 미리 심어두고, 가장 많은 방문자가 있는 날짜와 시간을 악용한다는 점도 과거에 비해 지능화된 수법이다.

이를 예방할 수 있는 방법은 국내 사이트들이 경유지나 유포지로 악용되지 않도록 하는 것이다. 이를 위해서는 취약점을 없애는 것이 가장 급선무다.

현재 국내에 많은 사이트들은 SQL인젝션, 크로스사이트스크립트(XSS)와 같은 강력한 취약점을 보유하고 있는 것으로 나타났다.

공격자들은 웹 취약성 진단도구를 변형해 사용한다. 웹 취약성 진단도구는 사이트의 취약점을 찾아 리포팅하는 기능을 갖추고 있는데, 이를 악용해 웹 취약점이 있는 사이트를 공격하는데 사용한다는 것이 빛스캔측의 설명이다.

전 이사는 “시큐어코딩이 모든 사이트에 적용돼야 이러한 문제가 최소화된다”며 “국제웹보안표준기구(OWASP)의 10가지 보안취약점(OWASP Top 10)을 모두 해결하는 것이 가장 이상적이지만 이것이 불가능할 경우 최소한 SQL인젝션, XSS와 같은 취약점을 제거해줘야 한다”고 강조했다.

이어 “만약 사이트가 경유지나 유포지로 악용될 경우, 공격코드(악성링크)만을 제거할 수 있는 솔루션을 도입한다면 피해의 규모는 매우 줄어들 수 있다”고 덧붙였다.

현재 빛스캔은 웹 취약점 탐지서비스와 웹 사이트 감시 시스템을 운영 중이다.

<이민형 기자>kiku@ddaily.co.kr