“악성코드의 물량공세가 더욱 거세지고 있다. 이제 기존 백신으로는 분석과 탐지가 한계에 다다른 상태다. 공격자들은 제로데이 취약점을 활용해 치밀하게 공격하고 있으며 블랙마켓에서 다양한 공격 정보들을 공유하고 있다. 또 악성코드 유포 수단도 스팸메일, 취약한 웹사이트 등을 이용해 대규모로 유포하고 관리하고 있는 상황이다.”
 
문일준 빛스캔 대표(사진)는 지난달 26일 개최된 데일리시큐와 머니투데이가 공동 주최하고 금융위, 금감원 등이 후원한 제3회 SFIS 2015 스마트 금융& 정보보호 페어에서 ‘금융권 악성코드 위협 동향 및 대응방안’을 주제로 발표를 진행했다.
 
문 대표는 “최근 공격자들은 금융관련 서비스를 이용해 악성코드를 유포하고 서버 권한을 획득해 내부정보를 탈취하고 이후 악성코드 유포지와 경유지로 활용하고 있는 상황”이라며 “주로 취약한 웹서버를 이용해 파밍 악성코드를 유포한다. 악성코드 사전 테스트를 통해 백신탐지 우회를 확인후 단기간 대규모로 유포하고 있으며 로컬 PC 권한을 탈취해 공인인증서, 문서파일 등을 탈취해 가고 있다”고 지적했다.
 
문대표가 밝힌 파밍 공격 동향은 아래와 같다.
공격의 시작은 취약한 웹사이트를 대상으로 드라이브 바이 다운로드 방식으로 단기간 대규모 감염을 일으키는 경우, 악성앱을 통한 스미싱, 사용자가 많은 P2P 및 프로그램 업데이트 모듈을 변조해 활용하고 공유기도 활용하고 있다.
 
주요 공격 기법으로는 한국에 특화된 공격툴을 활용하고 있다. Multi-Stage 기법, 악성 소스에 대한 난독화, 제로데이 또는 최신 취약점을 복합적으로 활용하고 Gongda, RIG, Sweet Orange 등 자동화 도구를 사용하고 있다.
 
문 대표는 “파밍 공격은 2013년 1월 국내 첫 출현했다. 공격자는 국내 금융 환경 및 대응에 대한 충분한 이해도를 가지고 공격을 시도하고 있다”며 “불특정 다수를 감염시키고 원격조정은 일반화돼 있다. 또 백신을 우회하고 대응하면 즉시 변경해 지속적으로 무력화 시켜 나가고 있어 대응이 힘든 상황”이라고 설명했다.
 
또 “지난 2013년에는 공격자 서버 웹로그에서 2만여 개 공인 IP를 확인한 바 있다. 금융, 의료, 관리, 생산 등 다양한 분야에서 피해가 발생하고 있다는 것을 확인했으며 좀비 PC화된 것을 직접 확인했다”며 “공인인증서도 상당수 유출된 상태다. 개인정보 유출은 당연하고 이를 통해 실제 피해가 발생한 금액도 2천500만원에 해당된다는 것을 확인했다”고 전했다.
 
특히 ‘드라이브-바이-다운로드’ 방식은 취약한 웹사이트를 이용해 보안이 취약한 불특정 다수에게 악성코드를 감염시키는 기법으로 사용자 개입 없이 감염이 발생하고 있다고 경고했다.
 
우선 보안이 취약한 웹사이트를 확보하고 악성코드 파일을 준비한다. 악성 스크립트 및 URL 자동 생성 및 서버 업로드, 카운터 서버 확보, C&C 서버 확보, 스토리지 서버 확보, 악성 URL 웹사이트에 삽입해 공격작업을 진행하고 이후 목적이 달성되면 웹사이트에 삽입한 악성 URL 제거, 악성파일 제거 및 저장 서버 제거한다. 또 차후 동향 파악을 위해 카운터 서버는 유지하고 좀비 PC 보유와 활용을 위해 C&C 서버를 변경하는 순으로 진행된다고 설명했다.
 
문 대표는 대응 방안에 대해 “취약한 웹서버는 취약점 진단 및 웹 보안상태 실시간 감시체계 구현, 안전한 코딩을 위한 개발자 인식제고가 필요하고 악성코드 분석의 자동화, 악성코드 유포경로 초기단계 탐지, 유포전 선제적 대응으로 확산을 차단하는 것이 무엇보다 중요하다”며 “최신 정보에 대한 빠른 공유 및 확보 체계를 수립하고 서버 비정상 행위 탐지 구현 및 관제 체계의 변화가 필요하다”고 강조했다.
 
이번 제3회 SFIS 2015에서 발표된 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com