최근 국내 웹사이트에서 드라이브 바이 다운로드 공격을 통해 랜섬웨어 중 하나인 크립토웨어 악성코드가 배포된 정황이 빛스캔(대표 문일준)에 의해 포착됐다.
 
빛스캔 측은, “모 웹사이트에서 드라이브 바이 다운로드 공격 형태로 크립토웨어가 유포됐으며 지난 4월 22일부터 국내 5개 사이트 광고 서버를 통해 재유포됐다”며 “현재 악성코드 경유지는 트위터로 리다이렉션 되는 상황이며 발견된 악성링크는 동일한 ISP와 국가(네덜란드)를 사용한다. 또 감염된 PC의 IP정보를 이용해 해당 국가별 언어를 적용해 피해를 주고 있다”고 전했다.
 
현재까지 분석된 내용을 보면, 감염된 PC의 IP 주소를 기반으로 사용자에게 보여주는 화면이 달라지고 있으며 각 국가별 혹은 언어별로 암호화를 진행한 후 안내 문구를 크립토웨어에서 작성하는 것으로 확인됐다. 물론 한국 공격 대상에 포함된다.
 
회사 측은 이번 공격의 의미에 대해 “드라이브 바이 다운로드 공격에 피해를 입고 있는 한국에서 유명 웹사이트를 직접 노렸다는 점과 한국어 버전까지 준비해 확장한 것으로 미루어 이미 직접적인 공격 범위에 한국이 포함돼 있다는 점이다. 더욱이 크립토웨어와 관련된 경유지는 호스트와 도메인만 다를 뿐 모두 같은 ISP내에 IP를 사용하는 것으로 확인됐다”고 설명했다.

 
또 “현재 크립토웨어 경유지는 다양한 도메인을 사용하고 계속 변형되는 여지가 있기 때문에 URL 및 URL의 차단으로는 공격자에 대한 방어를 할 수 없으며 IP차단을 통해 원천적인 봉쇄를 해야 한다”며 “하지만 IP도 공격자의 의도에 따라 손쉽게 변경할 수 있기 때문에 지속적인 관찰이 필요하다”고 전했다.
 
문제는 드라이브 바이 다운로드 방식을 통해 이메일이나 수상한 파일을 다운로드 하지 않았어도 피해가 발생할 수 있다는 점이다. 즉 웹 사이트 방문만으로도 감염이 될 수 있다는 것이다. 개인도 피해가 발생할 수 있지만 특히나 기밀 정보를 취급하는 공공기관이나 연구소, 기업에서 랜섬웨어 피해를 당한다면 APT 공격 이상의 피해를 받을 수 있는 것이다.
 
빛스캔 측은, “웹서비스에 대한 권한 획득과 악성코드 유포를 위한 소스 변경이 증가할 것으로 예상되며 대규모 유포망을 이용하는 형태가 주가될 가능성도 높다. 신규 공격법은 계속 추가되며 해외 사례에서 보듯 맥 사용자의 모바일 사용자 모두를 대상으로 발생할 것으로 예상된다”며 “대부분의 공격이 앞으로 이메일이나 파일 다운로드가 아닌 단지 웹 서비스 방문만으로 감염되는 형태로 확대될 것”이라고 전망했다.
 
또 “랜섬웨어의 한 종류인 크립토웨어의 중요 유포 경로가 웹을 통한 불특정 다수의 감염을 이용한 것으로 확인됐지만 그에 대한 사후 대책에만 치우지고 있는 상황”이라며 “발생 초기에 대처가 중요하다. 사후 진단이 아닌 웹에 대한 사전차단이 필요하다”고 강조했다.
 
빛스캔에서 발표한 ‘크립토웨어의 출현 의미와 전망’ 보고서는 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com