악성코드 유포도 이제 다단계 공격 시대?!

2012.12.20

 

언론사 사이트에 자주 접속하는 이들이라면 앞으로 더욱 각별한 주의가 필요할 것으로 보인다. 최근 언론사 사이트가 해킹돼 악성코드가 무차별 유포된 사례가 발생했기 때문이다.

문제는 해당 악성코드가 유포된 방식이다. 해킹 및 악성코드 제작자는 두 가지 이상의 목적을 실행하기 위해 여러 곳에 이른바 악성코드 ‘지뢰’를 숨겨두고 사용자가 그 ‘지뢰밭’을 그냥 지나치지 못하도록 했다. 단계별로 악성코드에 근접해가도록 형성해놓은 그 복잡한 구도는 보는 이로 하여금 혀를 내두르게 할 정도다.

해당 언론사의 사이트는 지난 7~9일 해킹됐을 것으로 보인다. 인터넷 사용자들이 언론사 사이트를 접속해서 해킹된 특정 페이지를 접속할 경우 악성코드가 바로 다운로드 되도록 했다. 접속하는 것만으로도 악성코드에 감염이 되는 것이다.

 

 

다운로드 된 악성코드는 쉬지 않고 파일을 다운로드 하는 P2P 사이트로의 접속을 시도한다. 이를 통해 또 다른 악성코드 감염을 유도했다. 다시 말해 1차 다운된 악성코드가 두 곳의 P2P 사이트를 통해서 모두 5개의 악성코드를 2차 다운로드 받도록 한 것이다. 이를 도식화하면 아래의 [그림 1]과 같다.

 

이 같은 복잡한 경로를 거친 뒤에도 해당 악성코드는 진군을 멈추지 않았다. 악성코드가 감염된 PC를 총 5개의 취약점과 일일이 대조한 뒤, 하나의 취약점이라도 발각이 되면 또 다른 악성코드를 다운 받는 사이트들로 인도했다.

 

 

 

이 최종 목적지에서 다운로드 받은 악성코드는 다름 아닌, 게임 계정 정보 탈취를 위한 악성코드(tsf.css)와 키로깅 악성코드(eexplorel.exe)였다. 키로깅 악성코드는 사용자가 키보드로 PC에 입력하는 내용을 몰래 낚아채 기록하는 행위를 뜻한다. 이를 통해 개인정보 탈취가 가능하다.

 

 

 

그동안 악성코드 제작자들은 한 번에 하나의 목적을 달성하기 위해 악성코드를 제작하곤 했다.

 

 

 

예를 들어 게임 계정을 탈취하기 위한 목적으로 특정 악성코드를 제작해 유포하거나, 개인 정보를 탈취하는 목적으로 특정 악성코드를 제작해 유포하는 등 최종 목적은 하나일 가능성이 많았다.

 

하지만 이번은 단 한번의 해킹과 악성코드 유포(1차 유포)를 통해서 모두 두 가지의 목적 달성을 꾀했다. 게임 정보 탈취는 물론 키로깅 등 접속자의 PC 정보를 탈취하고자 하는 목적을 동시에 실행시킬 수 있는 악성코드를 삽입시켰다는 점에서 기존보다 위협적이다.

 

사용자들이 만약 해당 사이트에 접속해 위와 같은 경로를 통해서 악성코드에 감염이 되었다면 이는 생각보다 심각한 문제를 야기한다.

 

 

 

게임 사이트의 접속 정보는 물론, PC를 사용하면서 적는 모든 문자가 유출될 수도 있는 것이다. 게다가 특정 사이트에 접속하기 위한 아이디와 비밀번호를 비롯해 포털사이트에서의 검색어 등의 중요한 개인 정보들이 세어나갈 수도 있다.

 

이와 관련, 사용자들에게 가장 좋은 처방은 무엇보다 자주 사용하는 소프트웨어에 대한 보안패치를 신속히 업데이트, 적용하는 것이라고 할 수 있다.

 

이번 언론사 해킹을 통한 악성코드 유포의 경우 여러 단계를 거쳤으나 종국에는 취약점을 악용한 공격이 이뤄졌다.

 

 

 

평소 패치를 완벽히 해놓았더라면 최종 악성코드에는 감염되지는 않는다는 애기다. 결국 최신 보안패치가 적용이 악성코드를 막는 가장 좋은 방어막이라고 할 수 있다. Ahn