국내 뉴스 사이트 통해 ‘공다 익스플로잇 킷’ 유포!

파이어아이, 중국 기반 구식 익스플로잇 킷 공격 아직 유효...국내 대부분 보안 취약
익스플로잇 킷에 의해 변조된 사이트에 악의적인 JS 파일 삽입, 랜딩페이지로 유인

[보안뉴스 김태형] 국내 뉴스 사이트를 통해 ‘공다 익스플로잇 킷’이 유포되어 주의가 필요하다. 파이어아이는 공격에 이용된 인프라를 근거로 ‘공다 익스플로잇 킷’이 중국에서 기원한 것으로 추정했다.

파이어아이(지사장 전수홍, www.fireeye.kr)가 국내 뉴스 사이트를 통해 공다 익스플로잇 킷(GonDa Exploit Kit)이 유포된 정황을 포착했다고 밝혔다. 공다 익스플로잇 킷은 지난 2014년부터 성행한 비교적 오래된 익스플로잇 킷으로, 이번 공격 사례는 구식의 익스플로잇 킷이 아직도 국내에서 사이버 공격 수단으로서 유효했다는 점에서 주목된다.

▲ 공다 익스플로잇 킷의 공격 체인

공다 익스플로잇 킷은 익스플로잇를 이용해 취약한 엔드포인트를 감염시키고, 타깃 시스템에 유해한 악성코드를 설치하는 익스플로잇 킷이다. 해당 익스플로잇 킷은 아직까지 자바(Java) 익스플로잇을 이용하는 비교적 오래된 공격 수단이며, 어도비 플래시 플래이어(Adobe Flash Player)와 MS비주얼 베이직 스크립트(VBScript) 익스플로잇도 포함하고 있었다.

공다 익스플로잇 킷은 앵글러(Angler) 혹은 뉴트리노(Neutrino)와 같이 새로이 등장한 익스플로잇 킷에 비해 여러 단점을 가지고 있음에도 불구하고, 이번 공격 사례에서 증명됐듯이 아직까지 공격 수단으로서 이용되고 있으며 공격 수단으로서 효력도 있었다.

파이어아이가 조사한 결과에 따르면, 공다 익스플로잇 킷의 공격 패턴은 이전의 탐지된 패턴들과 다르지 않았다. 공다 익스플로잇 킷에 의해 변조된 사이트는 악의적인 JS 파일이 삽입되어 있으며 익스플로잇 킷의 랜딩페이지로 방문자를 유인한다. 실제로, 다수의 국내 뉴스 사이트들은 공다 익스플로잇 킷의 랜딩페이지로 리다이렉션시키는 악성 JS파일이 삽입되어 있었으며, 이 랜딩 페이지는 타깃 시스템에 적합한 익스플로잇을 선택한다.

이번 공격에서는 윈도우OLE 메모리 원격코드 실행 취약점(CVE-2014-6332)이 이용됐다. 이 취약점은 지난 2014년 11월에 이미 보안패치 됐으나, 아직까지 사이버 공격에 흔히 이용되고 있다.

파이어아이는 공다 익스플로잇 킷이 중국을 기반으로 한다고 추정하고 있다. 파이어아이에 따르면, 공다 익스플로잇 킷은 지속적으로 중국 최대 규모의 ISP 업체인 차이나 텔레콤(China Telecom)의 네트워크 AS4134가 호스팅하는 인프라를 이용하고 있었다. 또한, 해당 익스플로잇 킷이 익스플로잇 킷 트래픽 및 감염 통계 조사를 위해 이용한 스탯카운터(stat counter)를 추적한 결과, 다수의 공격이 차이나 텔레콤이 호스팅하는 중국의 웹 트래픽 서비스를 이용했다. 파이어아이는 공다 익스플로잇 킷이 공격에 이용한 인프라와 공격 역량 등을 미루어 해당 익스플로잇 킷이 중국에서 기원한 것이라고 추정한다고 전했다.

이에 대해 파이어아이 코리아 전수홍 지사장은 “공다 익스플로잇 킷을 이용한 공격은 새로운 유형의 공격은 아니며, 오히려 아태지역에서는 비교적 흔한 공격 수법이다. 이미 패치된 취약점과 알려진 익스플로잇 킷을 이용한 공격이 국내에서 아직 효력을 발휘하고 있다는 것은 국내 뉴스 사이트를 비롯한 많은 조직이 체계적인 사이버 방어 시스템을 갖추지 못했다는 것”이라며 “보안 패치에 대한 지속적인 관심과 사이버 방어 시스템을 구축하는 것이 시급하다”고 말했다.
[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)