웹센스, CVE-2014-0322 취약점 공격 피해 사례 소개

허술한 보안 악용해 웹사이트 공격...금전적 이익 노려

[보안뉴스 김태형] 지능형 사이버 공격(APT) 및 데이터 유출 보안 분야의 글로벌 기업인 웹센스(Websense, Inc.)는 CVE-2014-0322 취약점 공격(exploit) 패턴과 유수의 피해 사례를 밝혀냈다.

지난 2월, 웹센스 연구소는 프랑스 항공우주산업 협회(French Aerospace Industry Association, GIFAS)를 겨냥한 제로 데이 공격을 탐지했다. 프랑스 항공우주산업 협회 제로 데이 공격을 시작으로 CVE-2014-0322 취약점 공격을 이용한 크라임웨어(crimeware) 공격이 발생했다. 그리고 공격 당시 사용된 취약점 공격 소스 코드(exploit source code)가 공개되었고, 이는 나중에 발생한 제로 데이 공격에 활용되었다.

다음은 CVE-2014-0322 취약점 공격으로부터 피해를 받은 주요 사이트 목록이다.

- gifas.assso.net: GIFAS 프랑스 항공 우주 협회(French Aerospace Association) 사칭 웹사이트

- hatobus.co.jp: 일본 여행 사칭 웹사이트(Japanese Travel Website)

- english.com.tw: 대만 영어 학교 사칭 웹사이트(Taiwanese English School)

- chemistry.hku.hk: 홍콩대학 화학과 사칭 웹사이트(Hong Kong University Chemistry Dept)

- vfw.org: 해외 종군 군인회 사칭 웹사이트(Veterans of Foreign Wars)

CVE-2014-0322 취약점 공격 소스 코드를 공공 도메인에서 사용함에 따라 위와 같이 피해 사례가 증가했다. 그리고 이러한 공격은 허술한 보안을 악용해 웹사이트를 공격하여 이익을 얻으려는 집단을 통해 목격되었다.

CVE-2014-0322 취약점 공격 소스 코드가 공개된 이후, 많은 공격 주체들이 단순히 ‘복사하여 붙이기’ 기능을 통해 쉽게 코드를 악용할 수 있게 되었다. 악성코드 감염을 확산시키기 위해 쓰이는 가장 널리 알려진 방법은 보안이 허술한 웹사이트를 통해 사용자들을 끊임없이 리다이렉트(redirect) 하는 것이다.

하지만 웹센스 보안 연구소는 CVE-2014-0322를 활용한 웹사이트 보안 공격을 탐지했고 여기서 주목할만한 점은 공격 집단의 수익을 가늠하는 것은 웹사이트의 수가 아닌 공격의 질적인 측면이라는 것이다.

다시 말해서 피해 웹사이트의 평판이 대량의 웹사이트를 감염시키는데 중요한 요소라는 점이다. 그리고 유수의 유명한 웹사이트가 이런 새로운 제로 데이 공격에 다양한 방법으로 활용되고 있는 것을 발견했다.

이와 관련하, 웹센스 수석 연구원인 엘라드 셔프(Elad Sherf)는 “취약점 공격 소스 코드가 공공 도메인에서 사용이 가능해짐에 따라, 이러한 점을 악용하는 것은 ‘복사하여 붙이기’만큼 쉬워져서 의도적으로 재사용이 가능하다. 최초 이 공격은 소량의 타깃 공격이라는 특성을 지니고 있었다면, 지금은 사이버 범죄자들에 의한 광범위한 채택으로 재정적인 이익을 목표로 대규모로 이루어지고 있다”라고 말했다.

또한 “이러한 공격을 주도하는 집단은 대량의 웹 트래픽을 통해 유명한 웹사이트를 감염시키는데 집중하고 있다. 글로벌 위협 인텔리전스(threat intelligence)는 이러한 공격을 탐지하는데 있어서 중요하다. 웹센스 보안 연구소는 빅데이터 분석을 통해 이러한 지능형 공격을 발견하고 보안 패치가 나오기 전에 고객의 노출된 위험을 제거하는 것을 돕는다”라고 말했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [bnTV] 증권가가 주목한 이 기업, 19...

• 2

  오이스터 백도어, MS 팀즈 설치파일로 위장...

• 3

  기업의 최대 보안 구멍, 문서형 악성코드 “...

• 4

  SK하이닉스, ‘SK hynix’ 사칭 사이...

• 5

  정부 관리 보안장비 1,822대 중 329대...

• 1

  기업의 최대 보안 구멍, 문서형 악성코드 “...

• 2

  전 세계 ‘딥페이크 스캠 및 피싱’ 공격 확...

• 3

  [bnTV] 위험한 ‘중고거래’, 안전하지 ...

• 4

  금융권 망분리 규제개선, ‘개봉박두’ 했지만...

• 5

  미국 CISA, 이반티에서 발견된 취약점의 ...

• 1

  KISIA 클라우드 보안 협의체, 금융권 망...

• 2

  ‘월드코인’ 관계사 개인정보 보호법 위반.....

• 3

  전 세계 ‘딥페이크 스캠 및 피싱’ 공격 확...

• 4

  북한 IT 노동자들, 서방 국가들에 위장 취...

• 5

  금융권 망분리 규제개선 3단계 키포인트