[김국배기자] 해커들은 악성코드를 어떻게 침투시킬까.
보안담당자들이 악성코드를 차단해야 하는 것과 반대로 공격자들은 더 쉽고 효율적으로 악성코드를 퍼뜨리려 한다. 이 때 공격자들이 사용하는 공격도구가 바로 '웹 익스플로잇 툴킷(Web Exploit Toolkit)'이다.
웹 익스플로잇 툴킷은 다수의 취약점을 악용해 사용자 PC에 악성코드를 감염시킬 수 있는 공격코드를 만드는 데 쓰인다.
하우리 최상명 선행연구팀장은 "현재까지 전 세계적으로 알려진 익스플로잇 킷은 약 150여 종"이라며 "익스플로잇 킷은 새롭게 등장하고 사라지는 등 라이프사이클을 가진다"고 설명했다.
◆리그킷은 지금 가장 '핫(hot)'한 공격도구
이런 해커들의 공격 도구들 중 최근 관심을 받고 있는 게 바로 '리그 익스플로잇 킷(RIG Exploit Kit)'이다. 이전까지는 '공다(Gong Da)'라는 툴킷이 유행했다.
순천향대 SCH사이버보안연구센터는 지난달 28일 국내 PC 사용자를 공격하는 조직이 리그킷이라는 새로운 방식으로 악성코드를 유포하는 것을 발견했다고 밝혔다. 국내 악성코드 유포의 대부분은 특정 조직이 차지하고 있는데 이들이 리그킷을 사용한 것은 이번이 처음으로 이전까지는 주로 해외에서 많이 쓰였다는 게 센터 측 설명이다.
리그킷의 경우 인터넷 익스플로러, 자바, 플래시, 마이크로소프트(MS) 실버라이트 등 소프트웨어(SW)의 취약점을 쓴다. 리그킷이 여타 다른 익스플로잇 킷보다 더 위험하다고 할 순 없지만 오래된 익스플로잇 킷에 비해 최신 취약점을 사용하기 때문에 공격자 입장에서는 악성코드를 감염시키는 것이 조금 더 수월할 수 있다.
특히 리그킷에는 공다팩과 씨케이 브이아이피킷(CK VIP Exploit Kit)에는 사용되지 않았던 MS 실버라이트(웹 브라우저 플러그인)의 취약점이 악성코드 유포에 사용돼 비교적 보안패치에 대한 인식이 강한 자바나 인터넷 익스플로러, 플래시 등에 비해 악성코드 감염 위험성이 다소 높다고 평가된다.
최 팀장은 "이 조직은 수년간 공다팩과 CK VIP라는 익스플로잇 킷만을 고수해 오다가 최근 리그킷을 사용하기 시작했다"며 "악성코드 유포 방식에 큰 변화가 생긴 것"이라고 말했다.
국내 보안업체들은 이런한 툴킷들로 제작된 악성코드를 조기에 차단하거나 발견해 치료를 수행하고 있다. 또 운영체제(OS)와 응용프로그램 패치를 철저히 하고 백신 최신버전으로 업데이트할 것을 권장하고 있다.
안랩 박태환 ASEC 대응팀장은 "다변화되고 고도화된 또 다른 하나의 툴킷이 등장한 것"이라며 "특히 국내 주요 보안 이슈 중 하나인 온라인 뱅킹용 악성코드와 만났다는 점에서 예의주시할 필요가 있다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기