최종편집시간 : 2017년 07월 29일 14:11
EBN
페이스북 트위터 네이버뉴스스탠드
실시간 News

"방문만 해도 감염된다" 악성코드 유포지된 웹사이트…해법은?

익스플로잇킷 통해 피해 확산
취약점 뚫는 신종 공격 지속

김언한 기자 (unhankim@ebn.co.kr)

등록 : 2017-03-20 15:12

▲ ⓒ유튜브 캡쳐

웹사이트를 방문하는 것만으로도 감염되는 악성코드 공격이 기승을 부린다. 공격자는 접속자수가 많고 보안이 취약한 커뮤니티, 쇼핑몰, 언론사 등 각종 사이트에 악성코드를 심는다. 사이트를 다녀간 사용자는 감염경로도 모른 채 피해를 입게 된다.

20일 관련업계에 따르면, 웹 브라우저의 취약점을 이용한 사이버 공격이 확대되며 사용자 피해를 키우고 있다. 이메일에 악성코드를 첨부해 클릭을 유도하는 것보다 대규모 피해를 발생시킬 수 있어 공격자가 선호하는 수법이 됐다.

클릭할 '파일이 없는' 공격은 주로 랜섬웨어 유포에 이용된다. 최근에는 '세이지(Sage)' 랜섬웨어가 활개를 친다. 기존에는 주로 이메일을 통해 유포됐지만 드라이브 바이 다운로드 (Drive-by-Download) 방식으로 공격 경로를 바꿨다. 감염될 경우 윈도우 복원이 불가능하다. '선다운(Sundown)' 익스플로잇킷을 통해 불특정 다수를 겨냥했다.

새로운 익스플로잇킷이 지속적으로 등장해 보안 취약점을 뚫는다. 익스플로잇킷(Exploit Kit)은 악성코드 유포를 위해 웹 브라우저 취약점을 공격하는 도구를 말한다. 플래시 플레이어, 자바(Java), 어도비 리더 등과 같은 브라우저 플러그인 공격 도구를 포함하고 있다. 지난해 하반기부터 '선다운'과 '매그니튜드' 익스플로잇킷의 영향력이 확대됐다.

선다운은 최신 변종인 '록키(Locky)' 랜섬웨어를 국내에 유포시키며 급증했다. 매그니튜드 역시 국내에 '케르베르(Cerber)' 랜섬웨어를 대량 살포한 주범이다. '리그(Rig)' 익스플로잇킷도 '리벤지', '크립토실드'를 유포하고 있다.

최상명 하우리 침해사고대응팀(CERT) 실장은 "익스플로잇킷도 유행에 따라 사라지거나 새로운 것이 등장한다"며 "신규로 등장하는 익스플로잇킷들을 빠르게 식별하고 이를 차단할 수 있어야 한다"고 당부했다.

▲ ⓒ하우리

온라인 광고만 봐도 감염되는 '멀버타이징(Malvertising)'도 대규모 피해를 일으킬 수 있다. 공격자는 상대적으로 보안에 취약한 광고 서버를 해킹한다. 주로 어도비 플래시 플레이어나 브라우저의 취약점을 악용한다.

온라인 광고는 방문자가 많은 사이트에서 관심을 끄는 주제를 통해 동시다발적으로 유포된다. 악용 시 대규모 침해를 낳는 원인이 된다. 지난해 유명 커뮤니티 사이트 '뽐뿌'의 회원들에게 대규모 랜섬웨어 피해를 발생시킨 것이 멀버타이징 기법이다.

하우리에 따르면, 최근에는 메모리 또는 레지스트리 상에서만 존재해 동작하는 악성코드가 급격히 늘었다. 지난해 파일이 없는 악성코드 공격은 총 3782건으로 직전년도와 비교해 약 400% 증가해 역대 최대치를 기록했다.

파일이 없는 악성코드 공격은 주로 웹 브라우저의 취약점을 이용해 발생한다. 윈도우에 기본적으로 탑재된 파워쉘(Powershell)과 윈도우 관리 도구 명령줄 유틸리티(WMIC)를 통해 이뤄진다.

보안업계 관계자는 "플래시 플레이어와 운영체제(OS)의 업데이트를 주기적으로 확인하는 것이 중요하다"며 "광고차단 프로그램이나 브라우저 설정을 통해 온라인 광고를 차단하는 것도 한 방법이 될 수 있다"고 조언했다.