파이어아이(지사장 전수홍 www.fireeye.kr)가 국내 뉴스 사이트를 통해 공다 익스플로잇 킷(GonDa Exploit Kit)이 유포된 정황을 포착했다고 23일 밝혔다.

공다 익스플로잇 킷은 지난 2014년부터 성행한 비교적 오래된 익스플로잇 킷으로, 이번 공격 사례는 구식의 익스플로잇 킷이 아직도 국내에서 사이버 공격 수단으로서 유효했다는 점에서 주목된다.

‘공다 익스플로잇 킷’은 익스플로잇를 이용해 취약한 엔드포인트를 감염시키고, 타깃 시스템에 유해한 악성코드를 설치하는 익스플로잇 킷이다.

이 익스플로잇 킷은 아직까지 자바(Java) 익스플로잇을 이용하는 비교적 오래된 공격 수단이며, 어도비 플래시 플래이어(Adobe Flash Player)와 MS비주얼 베이직 스크립트(VBScript) 익스플로잇도 포함하고 있었다. <그림 ‘공다 익스플로잇 킷의 공격 체인’ 참조>

▲ 그림 ‘공다 익스플로잇 킷의 공격 체인’

공다 익스플로잇 킷은 앵글러(Angler) 혹은 뉴트리노(Neutrino)와 같이 새로이 등장한 익스플로잇 킷에 비해 여러 단점을 가지고 있음에도 불구하고, 이번 공격 사례에서 증명됐듯이, 아직까지 공격 수단으로서 이용되고 있으며 공격 수단으로서 효력도 있었다.

파이어아이 조사 결과에 따르면, 공다 익스플로잇 킷의 공격 패턴은 이전의 탐지된 패턴들과 다르지 않았다. 공다 익스플로잇 킷에 의해 변조된 사이트는 악의적인JS 파일이 삽입돼 있으며 익스플로잇 킷의 랜딩페이지로 방문자를 유인한다.

실제로 다수의 국내 뉴스 사이트들은 공다 익스플로잇 킷의 랜딩페이지로 리다이렉션 시키는 악성 JS파일이 삽입돼 있었으며, 이 랜딩 페이지는 타깃 시스템에 적합한 익스플로잇을 선택한다.

이번 공격에서는 윈도 OLE 메모리 원격 코드 실행 취약점(CVE-2014-6332)이 이용됐다.

이 취약점은 지난 2014년 11월에 이미 보안 패치 됐으나, 아직까지 사이버 공격에 흔히 이용되고 있다.

이어 파이어아이는 공다 익스플로잇 킷이 중국을 기반으로 한다고 추정하고 있다.

파이어아이에 따르면, 공다 익스플로잇 킷은 지속적으로 중국 ISP 업체 차이나 텔레콤(China Telecom)의 네트워크 AS4134가 호스팅하는 인프라를 이용하고 있었다. 또

또한 해당 익스플로잇 킷이 익스플로잇 킷 트래픽 및 감염 통계 조사를 위해 이용한 스탯카운터(stat counter)를 추적한 결과, 다수의 공격이 차이나 텔레콤이 호스팅하는 중국의 웹 트래픽 서비스를 이용했다.

파이어아이는 공다 익스플로잇 킷이 공격에 이용한 인프라와 공격 역량 등을 미뤄 해당 익스플로잇 킷이 중국에서 기원한 것이라고 추정한다고 전했다.

전수홍 파이어아이 코리아 지사장은 “공다 익스플로잇 킷을 이용한 공격은 새로운 유형의 공격은 아니며, 오히려 아태지역에서는 비교적 흔한 공격 수법이다. 이미 패치된 취약점과 알려진 익스플로잇 킷을 이용한 공격이 국내에서 아직 효력을 발휘하고 있다는 것은 국내 뉴스 사이트를 비롯한 많은 조직이 체계적인 사이버 방어 시스템을 갖추지 못했다는 것”이라며 “보안 패치에 대한 지속적인 관심과 사이버 방어 시스템을 구축하는 것이 시급하다”고 말했다.

공다 익스플로잇 킷에 대한 보다 자세한 정보는 파이어아이 공식 블로그(https://www.fireeye.com/blog/threat-research/2016/03/gongda_vs_koreanne.html)에서 확인할 수 있다.

<김동기 기자>kdk@bikorea.net