[보안용어 A to Z] 익스플로잇 킷

취약점 파고 들어 사용자 감염시키는 자동화 도구, 익스플로잇 킷

[보안뉴스 민세아] 온라인 상거래가 급증하는 연말연시라는 좋은 기회를 해커들이 그냥 넘길 리 없다. 일찍이 POS 멀웨어가 하나둘씩 등장하기 시작하더니 이제는 대규모 공격을 위한 익스플로잇 킷(Exploit Kit) 인프라까지 갖춰지고 있는 것으로 알려졌다.

▲해커들의 시장에서 각광받는 익스플로잇 킷

그럼 본지를 비롯해서 언론에서 자주 언급되는 익스플로잇 킷(Exploit Kit)이란 무엇일까? 그 의미만 따져보면 간단하다. 일반적으로 악성코드는 사용자 시스템 속 여러 프로그램들의 취약점을 통해 유포된다. 예를 들면 마이크로소프트(MS) OS 버전 자체의 취약점, MS 실버라이트 취약점, 웹 브라우저 취약점, 어도비 플래시 플레이어 및 어도비 리더 취약점 등이다.

익스플로잇 킷은 이러한 취약점을 이용해 이메일, 웹 페이지 접속 등으로 악성코드를 유포하는 자동화 소스코드 및 도구를 말한다. 유명한 익스플로잇 킷으로는 공다팩(Gongda Pack), 리그킷(Rig Kit), CK_VIP, 앵글러(Angler), 스윗오렌지 익스플로잇 킷(Sweet-Orange Exploit Kit) 등의 종류가 있다.

익스플로잇 킷이 사람들에게 인식되기 시작한 것은 2012년 블랙홀(Blackhole) 익스플로잇 킷이 등장하면서부터다. 블랙홀은 당시 1만 달러 상당의 몸값을 자랑하면서 성행했으나 이후 무수히 많은 익스플로잇 킷이 등장하고, 관련자들이 지난 2013년 10월 체포되면서 사실상 멸종됐다. 이후 앵글러(Angler)가 혜성처럼 등장하기 시작하면서 2015년 5월, 언더그라운드 시장의 82%를 차지했다.

앵글러는 사용자들을 감염된 사이트로 유인하는 것은 다른 익스플로잇 킷과 마찬가지지만 도메인 생성 알고리즘과 같은 방법을 사용해 블랙리스트를 피할 수 있다는 효율성을 가지고 있어 각광받았다.

그런데 최근 시스코 탈로스 팀이 앵글러 익스플로잇 킷의 활동을 추적해 이를 차단할 수 있는 방법을 찾아낸 것으로 알려졌다. 앵글러 익스플로잇 킷이 블랙홀의 전철을 똑같이 밟게될 지 향후 추이가 주목된다.

얼마 전에는 RIG 익스플로잇 킷의 새로운 버전이 등장했다. 사용자 인터페이스가 깔끔해지고 우회 기능이 더욱 강화된 세 번째 버전이다. RIG 익스플로잇 킷은 지난 2015년 8월 기준으로 약 120만 대의 PC를 감염시켰으며, 어도비 플래시 취약점, IE(Internet Explorer) 취약점을 주로 악용하는 것으로 알려졌다.

2015년 3분기에 익스플로잇 킷의 활동이 지난해에 비해 75%나 증가했다는 통계가 있다. 정확히는 익스플로잇 킷 활동을 가능케 하는 DNS 인프라가 75% 늘었다는 것이지만, 보안전문가들은 향후 더 많은 공격을 위해 초석을 깔아놓은 것이라고 분석하고 있다. 연말연시를 앞둔 상황에서 익스플로잇 킷 공격에 대비한 기업들과 사용자들의 주의가 요구되는 시점이다.
[민세아 기자(boan5@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)