[디지털데일리 이유지기자] 파이어아이(지사장 전수홍)는 국내 뉴스 사이트를 통해 공다 익스플로잇 킷(GonDa Exploit Kit)이 유포된 정황을 포착했다고 21일 밝혔다.

공다 익스플로잇 킷은 지난 2014년부터 성행한 비교적 오래된 익스플로잇 킷으로, 이번 사례는 구식의 익스플로잇 킷이 아직도 국내에서 사이버공격 수단으로 이용되고 있고 효력도 있었다는 점에 주목된다.

공다 익스플로잇 킷은 익스플로잇를 이용해 취약한 엔드포인트를 감염시키고, 타깃 시스템에 유해한 악성코드를 설치하는 익스플로잇 킷이다. 해당 익스플로잇 킷은 자바 익스플로잇을 이용하는 비교적 오래된 공격 수단이다. 어도비 플래시 플레이어와 마이크로소프트 비주얼 베이직 스크립트(VBScript) 익스플로잇도 포함하고 있었다.

파이어아이가 조사한 결과에 따르면, 공다 익스플로잇 킷의 공격 패턴은 이전의 탐지된 패턴들과 다르지 않았다. 공다 익스플로잇 킷에 의해 변조된 사이트는 악의적인 JS 파일이 삽입돼 있으며 익스플로잇 킷의 랜딩페이지로 방문자를 유인한다.

실제로 다수의 국내 뉴스 사이트들은 공다 익스플로잇 킷의 랜딩페이지로 리다이렉션 시키는 악성 JS파일이 삽입돼 있었다. 이 랜딩 페이지는 타깃 시스템에 적합한 익스플로잇을 선택한다.

이번 공격에서는 윈도OLE 메모리 원격 코드 실행 취약점(CVE-2014-6332)이 이용됐다. 이 취약점은 지난 2014년 11월에 이미 보안 패치 됐으나, 아직까지 사이버공격에 흔히 이용되고 있다.

파이어아이는 공다 익스플로잇 킷이 중국을 기반으로 한다고 추정하고 있다. 공다 익스플로잇 킷은 지속적으로 중국 최대 규모 인터넷서비스제공업체(ISP) 업체인 차이나텔레콤(China Telecom)의 네트워크 AS4134가 호스팅하는 인프라를 이용하고 있었다.

또한 해당 익스플로잇 킷이 익스플로잇 킷 트래픽 및 감염 통계 조사를 위해 이용한 스탯카운터(stat counter)를 추적한 결과, 다수의 공격이 차이나 텔레콤이 호스팅하는 중국의 웹 트래픽 서비스를 이용했다. 파이어아이는 공다 익스플로잇 킷이 공격에 이용한 인프라와 공격 역량 등을 미루어 해당 익스플로잇 킷이 중국에서 기원한 것이라고 추정한다고 전했다.

전수홍 파이어아이코리아 지사장은 “공다 익스플로잇 킷을 이용한 공격은 새로운 유형의 공격은 아니다. 오히려 아태지역에서는 비교적 흔한 공격 수법이다. 이미 패치된 취약점과 알려진 익스플로잇 킷을 이용한 공격이 국내에서 아직 효력을 발휘하고 있다는 것은 국내 뉴스 사이트를 비롯한 많은 조직이 체계적인 사이버방어 시스템을 갖추지 못했다는 것”이라며 “보안 패치에 대한 지속적인 관심과 사이버 방어 시스템을 구축하는 것이 시급하다”고 말했다.

<이유지 기자>yjlee@ddaily.co.kr