웹센스, CVE-2014-0322 취약점 공격 피해 사례 소개

허술한 보안 악용해 웹사이트 공격...금전적 이익 노려

[보안뉴스 김태형] 지능형 사이버 공격(APT) 및 데이터 유출 보안 분야의 글로벌 기업인 웹센스(Websense, Inc.)는 CVE-2014-0322 취약점 공격(exploit) 패턴과 유수의 피해 사례를 밝혀냈다.

지난 2월, 웹센스 연구소는 프랑스 항공우주산업 협회(French Aerospace Industry Association, GIFAS)를 겨냥한 제로 데이 공격을 탐지했다. 프랑스 항공우주산업 협회 제로 데이 공격을 시작으로 CVE-2014-0322 취약점 공격을 이용한 크라임웨어(crimeware) 공격이 발생했다. 그리고 공격 당시 사용된 취약점 공격 소스 코드(exploit source code)가 공개되었고, 이는 나중에 발생한 제로 데이 공격에 활용되었다.

다음은 CVE-2014-0322 취약점 공격으로부터 피해를 받은 주요 사이트 목록이다.

- gifas.assso.net: GIFAS 프랑스 항공 우주 협회(French Aerospace Association) 사칭 웹사이트

- hatobus.co.jp: 일본 여행 사칭 웹사이트(Japanese Travel Website)

- english.com.tw: 대만 영어 학교 사칭 웹사이트(Taiwanese English School)

- chemistry.hku.hk: 홍콩대학 화학과 사칭 웹사이트(Hong Kong University Chemistry Dept)

- vfw.org: 해외 종군 군인회 사칭 웹사이트(Veterans of Foreign Wars)

CVE-2014-0322 취약점 공격 소스 코드를 공공 도메인에서 사용함에 따라 위와 같이 피해 사례가 증가했다. 그리고 이러한 공격은 허술한 보안을 악용해 웹사이트를 공격하여 이익을 얻으려는 집단을 통해 목격되었다.

CVE-2014-0322 취약점 공격 소스 코드가 공개된 이후, 많은 공격 주체들이 단순히 ‘복사하여 붙이기’ 기능을 통해 쉽게 코드를 악용할 수 있게 되었다. 악성코드 감염을 확산시키기 위해 쓰이는 가장 널리 알려진 방법은 보안이 허술한 웹사이트를 통해 사용자들을 끊임없이 리다이렉트(redirect) 하는 것이다.

하지만 웹센스 보안 연구소는 CVE-2014-0322를 활용한 웹사이트 보안 공격을 탐지했고 여기서 주목할만한 점은 공격 집단의 수익을 가늠하는 것은 웹사이트의 수가 아닌 공격의 질적인 측면이라는 것이다.

다시 말해서 피해 웹사이트의 평판이 대량의 웹사이트를 감염시키는데 중요한 요소라는 점이다. 그리고 유수의 유명한 웹사이트가 이런 새로운 제로 데이 공격에 다양한 방법으로 활용되고 있는 것을 발견했다.

이와 관련하, 웹센스 수석 연구원인 엘라드 셔프(Elad Sherf)는 “취약점 공격 소스 코드가 공공 도메인에서 사용이 가능해짐에 따라, 이러한 점을 악용하는 것은 ‘복사하여 붙이기’만큼 쉬워져서 의도적으로 재사용이 가능하다. 최초 이 공격은 소량의 타깃 공격이라는 특성을 지니고 있었다면, 지금은 사이버 범죄자들에 의한 광범위한 채택으로 재정적인 이익을 목표로 대규모로 이루어지고 있다”라고 말했다.

또한 “이러한 공격을 주도하는 집단은 대량의 웹 트래픽을 통해 유명한 웹사이트를 감염시키는데 집중하고 있다. 글로벌 위협 인텔리전스(threat intelligence)는 이러한 공격을 탐지하는데 있어서 중요하다. 웹센스 보안 연구소는 빅데이터 분석을 통해 이러한 지능형 공격을 발견하고 보안 패치가 나오기 전에 고객의 노출된 위험을 제거하는 것을 돕는다”라고 말했다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)