침해사고/위협동향

‘리그킷’ 사용한 악성코드 유포 사례 증가

이민형

[디지털데일리 이민형기자] 순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 최근 리그킷(RIG Exploit Kit)을 사용해 악성코드를 배포하는 사례가 증가하고 있다고 27일 밝혔다.

‘리그킷’은 해외에서 많이 사용하는 공격도구로 PC의 특정 경로에 파일이 존재하는지를 확인하는 기능을 갖췄으며, 실버라이트와 자바, 플래쉬 취약점을 이용해 악성코드를 유포하는 형태를 갖추고 있다.

기존에 사용하던 공격도구는 난독화된 코드의 복호화 과정이 자바스크립트로 돼 있어 비교적 쉽게 코드 분석이 가능했다. 하지만 리그킷은 그 과정이 PHP로 돼 있어 코드 분석이 어렵고, 공격자가 지정한 특정 값(PHPSESSID)을 다른 페이지에서 확인한 후 최종 악성코드를 유포하는 것이 특징이다.

현재 공격자들은 리그킷을 사용해 파밍(Pharming)과 원격제어(Remote Access Tool) 악성코드를 유포하고 있는 상황이다.

염흥열 센터장은 “공격자가 리그킷을 악성코드 유포에 사용한 것은 처음”이라며 “해당 조직이 악성코드 탐지를 우회하기 위한 새로운 도구를 이용해 유포방식이 진화하고 있는 추세에 대한 대응 기법 개발이 요구되며, 사용자들은 최신 버전으로 업데이트로 악성코드 피해를 최소화해야 한다”고 말했다.

한편 리그킷을 사용하는 공격자들은 중국에 위치하고 있는 것으로 조사됐으며, 이들은 2011년부터 최근까지 지속적으로 국내 인터넷 뱅킹을 위한 파밍 공격용 악성코드를 유포해 왔다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널