2024-10-07 04:20 (월)
딥웹에 숨겨진 악성코드와 공격자들의 은밀한 전략
상태바
딥웹에 숨겨진 악성코드와 공격자들의 은밀한 전략
  • 길민권 기자
  • 승인 2024.09.19 22:27
이 기사를 공유합니다

악성코드는 더 이상 IT 전문가들만의 영역이 아니다. 이제는 컴퓨터 초보자도 몇 가지 도구만으로 손쉽게 악성코드를 제작하고 유포할 수 있는 시대가 되었다. 사이버 범죄의 대중화와 함께 그 규모와 영향력도 기하급수적으로 증가하고 있다. 그렇다면 수많은 악성코드는 어디에 숨어 있을까? 그 답은 바로 딥웹이다.

딥웹은 일반적인 검색 엔진으로는 접근할 수 없는 웹의 숨겨진 영역을 의미하며, 다크웹과는 구별된다. 딥웹은 정상적인 브라우저로도 접근이 가능하다는 점에서 악성코드를 쉽게 다운로드할 수 있는 위험성을 내포하고 있다. 공격자들은 이러한 딥웹을 활용해 악성코드를 배포하고 있으며, 일반적인 웹사이트에서 쉽게 탐지되지 않도록 은밀하게 숨겨두고 있다.

딥웹에서 발견된 악성코드 사례 분석

첫 번째로 분석된 딥웹 사이트는 'https://e***s.ro'이다. 이 웹사이트에 접속하면 콘텐츠가 없는 빈 페이지가 나타나지만, 소스 코드에는 피싱 사이트로 연결되는 다수의 링크가 숨겨져 있었다. 이 링크들은 `display:none` 설정을 통해 사용자에게 보이지 않도록 은폐되었다가, 특정 시점에서 활성화된다. 사용자가 해당 URL에 접속하면 악성코드가 자동으로 다운로드되며, `ord.exe`, `kin.exe` 파일을 통해 PC 권한을 상승시키고 민감한 정보를 탈취하는 트로이목마(Trojan/Win32.Formbook) 유형의 악성코드로 밝혀졌다.

두 번째 사이트는 'https://file*****.vercel.app'로, 무료 호스팅 서비스인 Vercel을 이용해 운영되고 있었다. 접속 시 404 에러 페이지가 출력되어 내부 콘텐츠를 확인할 수 없었지만, 이 웹사이트의 딥웹 영역에서는 `windows.exe` 악성코드가 발견되었다. 이 악성코드는 난독화된 페이로드를 실행하여 안티바이러스 탐지를 우회하며, 사용자의 민감한 정보를 수집해 트로이목마(Trojan/LummaStealer) 유형으로 분석되었다.

특히, Vercel과 같은 무료 호스팅 서비스는 비용 부담 없이 여러 IP 주소와 다양한 위치에서 공격을 지속할 수 있는 환경을 제공하므로, 공격자들은 익명성을 유지한 채 악성코드를 배포하기에 유리하다. 이러한 서비스는 악성코드 유포뿐만 아니라 C&C 서버로도 악용될 가능성이 높다.

딥웹의 위협에 대한 경각심 필요

딥웹 탐지 전문업체 포테이토넷은 "딥웹은 일반적인 웹과 달리 추적이 어려워 악성코드 탐지 및 차단이 훨씬 까다롭다"며, "딥웹에 숨겨진 악성코드를 추적하고 차단하기 위해서는 정교한 보안 전략과 면밀한 주의가 필요하다"고 강조했다. 또한, "보안 전문가들은 딥웹에서 활동하는 공격자들의 패턴을 분석하고, 새로운 경로로 배포되는 악성코드에 대한 지속적인 감시와 대응책을 마련해야 한다"고 지적했다.

악성코드가 딥웹을 통해 은밀히 배포되고 있는 상황에서, 이를 사전에 차단하기 위한 보안 강화와 예방 조치는 필수적이다.

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★