[주간리포트] 어도비 취약점과 CDN 변조 공격 ‘무방비’

한편, 금융위원회는 보안성 심의제도를 폐지하는 대신 사후 보안을 대폭 강화하겠다고 밝혔으며, 한국인터넷진흥원(KISA)과 국내 5대 공인인증기관은 공동으로 NPKI(National Public Key Infrastructure, 국가공개키 기반구조) 폴더 사용 폐지에 나설 계획이다. 이 외에도 경기도는 보안 사각지대에 놓인 26개 산하 공공기관을 대상으로 정보보안 수준진단에 나선다고 밝혔다.

2. 스미싱: 차량법규 위반·보험미납요금 등 각양각색 

스미싱도 한 주간 하루도 거르지 않고 끊임없이 발견됐다. 지난 2일에는 ‘모바일 귀하의 차량법규 위반 및 청구명령 발송됩니다’ 문구를 사칭한 스미싱 문자가, 3일에는 ‘http://d**.vu***.net’ 인터넷주소 URL이, 4일에는 ‘고객님 이번달 마지막 보험미납요금 청구조회서! 더욱 보안 강화된 명세서함께 즐거운 2월되시길바랍니다’ 문구를 사칭한 스미싱 문자가, 5일에는 한진택배 고객님 예정 배송 조회 문구를 사칭한 스미싱 문자가, 6일에는 ‘민사사건처분통지’ 문구를 사칭한 스미싱 문자가 줄줄이 발견됐다.

특히, 3일에 발견된 스미싱의 경우 이용자의 호기심을 유발시켜 클릭하도록 유도하고 있다. 또한 4일에 발견된 보험미납요금 스미싱의 경우 ‘보안이 강화됐다’며 이용자를 안심시키는 문구를 사용했다. 또한, 최근 들어 택배사칭 스미싱 문구가 특정업체를 사칭하는 수법이 두드러지고 있다. 5일 발견된 스미싱의 경우도 ‘한진택배’라는 특정업체를 사칭하고 있으며, 지난달에는 ‘로젠택배’를 사칭한 스미싱이 기승을 부린 바 있다.

3. 악성링크: 어도비 플래시 제로데이 취약점 외 

한 주간 악성링크 및 악성코드 역시 기승을 부린 것으로 나타났다. 이와 관련 빛스캔은 2월 1주차 인터넷 위협분석 보고서를 통해 △홍콩 IP 대역을 이용한 악성코드 유포 증가(특정 ISP를 활용한 공격) △하위링크의 잦은 변화를 이용한 우회 기법 출현 △Multi-Stage 기법의 공격 코드 지속 출현 △계절적 영향에 따른 관련 사이트에 집중 △언론사, 파일공유(P2P), 쇼핑몰, 의료 분야 피해 △금융 동향의 경우 지속적인 금융정보를 탈취하는 악성코드가 기승을 부렸다고 밝혔다.

특히, 지난 3일에는 어도비 플래시 제로데이 취약점(CVE-2015-0313)을 이용해 악성코드가 유포됐다. 이는 윈도우 8.1 및 하위버전에서 IE(Internet Explorer)와 파이어폭스(Mozilla Firefox) 웹 브라우저를 사용할 경우 드라이브 바이 다운로드(Drive-by-Download) 방식으로 악성코드에 감염될 수 있다.

이보다 앞서 지난 1일 본지는 지난 주말 몇몇 정부부처·공공기관 웹사이트가 사용하는 CDN(콘텐츠 전송 네트워크: Contents Delivery Network) 서비스의 네트워크 장비가 해커에 의해 변조돼 악성코드 유포에 악용됐다고 보도한 바 있다. 

그런데 지난 6일 이러한 공격 정황이 또 다시 포착됐다. 이는 CDN을 이용하는 웹사이트 방문시 악성링크로 강제 이동하는 302 리다이렉션 공격을 활용한 것이다.

이와 관련 보안전문가는 “CDN 캐시 변조 피해자는 비단 해당 웹사이트 방문자만이 아니”라며 “최초 접속에 한해서 악성코드를 유포하고 그 다음부터는 악성코드가 아닌 네이버 서버의 특정 스크립트들에 의한 리다이렉트 공격을 활용한다”고 밝혔다. 게다가 이러한 공격은 워낙 지능적이어서 보안위협이 더욱 크며, 이미 8개월 전부터 진행돼 왔지만, 심각성에 비해 그간 알려지지 않았다는 게 보안전문가의 설명이다.