세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
북한 추정 해커조직, 포털사이트 다음 취약점 노려 사이버공격
  |  입력 : 2017-09-20 14:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
북한 추정 해커조직, 포털 다음 이메일의 img 태그 XSS 취약점 공격 징후 포착
가상화폐 노리고 입사지원서로 위장한 한글 악성파일도 탐지


[보안뉴스 김경애 기자] 북한 추정 해커조직이 포털사이트 다음을 이용한 취약점 공격을 감행한 것으로 드러났다. 뿐만 아니라 입사지원서를 사칭해 가상화폐 거래소를 노린 공격도 지속적으로 발견되고 있다.

▲포털사이트 다음 로그인을 사칭한 피싱 화면 예시[자료=제보자]


지난 19일 북한 추정 해커조직에서 국내 대형 포털사이트인 다음 이메일의 img 태그 XSS 취약점을 이용한 공격이 포착됐다. 해당 취약점을 이용해 해커는 메일 로그인 세션 쿠키정보를 탈취하고, 피싱 사이트로 리다이렉션하고 있다.

XSS(Cross Site Scripting) 취약점은 게시판, 웹 메일 등에 삽입된 악의적인 스크립트를 통해 페이지가 깨지도록 하거나 다른 사용자의 이용을 방해하거나 쿠키 및 기타 개인 정보를 특정 사이트로 전송시킬 수 있는 공격이 가능하다.

이번에 발견된 북한 추정 공격은 피싱 화면만 봐서는 일반 피싱 공격과 크게 다르지 않다. 하지만 추적을 피하기 위한 방법과 코딩 등이 이전과는 다른 패턴을 보이고 있는 것으로 분석됐다. 또한 이들의 목적에 따라 다양한 추가 공격이 가능해 지속적인 모니터링이 요구된다.

이에 대해 큐브피아 권석철 대표는 “방어자 입장에서 모든 취약점 패치와 제거는 어려움이 있지만 공격자 입장에서는 한 개의 취약점만 확인이 되면 이를 토대로 자신이 원하는 것을 마음대로 할 수가 있다는 점에서 차이가 있다”며 “결국 해커는 이러한 취약점들을 꾸준히 탐색해 낼 것이며 이를 토대로 국내 특정서버를 명령서버로 계속 활용할 것”이라고 밝혔다.

특히, 이번 사건의 경우 해커가 메일 로그인 세션 쿠키정보를 탈취한다는 점에서 주목되고 있다. 해커가 메일 로그인 세션 쿠키정보를 탈취할 경우 사용자의 메일을 볼 수 있다. 이는 특정인을 타깃으로 정찰과 감시를 통한 정보탈취 목적일 가능성이 높다는 얘기다.

이와 관련 익명을 요청한 보안업계 관계자는 “XSS 취약점을 이용한 공격 자체는 새로운 기법은 아니나 이번에 발견된 피싱 공격의 경우 기술적인 방법에서 차이가 있을 수 있거나 아니면 예전에 미처 공격을 인지하지 못했을 수도 있다”며 “다음의 모든 사용자가 영향을 받으려면 해당 XSS 취약점 코드가 다음 메인 페이지에 걸려야 겠지만 이번에 발견된 피싱 페이지를 보면 메일을 받은 사람만 타깃으로 한 것으로 보인다. 또한, 메일 로그인 세션 쿠키정보를 탈취할 경우 사용자의 메일을 볼 수 있기 때문에 특정 타깃을 노린 공격으로 보인다”고 예측했다.

▲포털사이트 다음 로그인을 사칭한 피싱 화면 예시[자료=제보자]


이번 사건이 드러남에 따라 그동안 포털사이트 다음의 허술한 취약점 관리도 도마 위에 올랐다. 다음의 XSS 취약점은 본지에서도 여러 차례 지적한 바 있으며, 사전에 충분히 예방할 수 있다는 점에서 문제로 지적되고 있다. 이와 관련 익명의 보안전문가는 “XSS 취약점은 사전에 충분히 차단할 수 있는 취약점이기 때문에 코딩하는 사람이 페이지에서 자바스크립트 실행 가능 여부를 좀더 꼼꼼히 체크하고, XSS 취약점이 필터링될 수 있도록 해야 한다”고 말했다.

또다른 보안업계 연구원 역시 필터링의 중요성을 언급하며 “개발자가 img 태그를 사용할 때 다른 기능은 사용하지 못하게 필터링이 돼야 하는데 그렇지 못한 경우 발생하는 공격”이라며 “공격 형태는 img 태그 뒤에 다양한 Client Side Script들을 이용해 웹방화벽과 코딩된 필터링 정책을 우회하는 형태로 변형 가능하다. 사용자로부터 입력받는 값에 대해 검증 로직을 추가하고, 게시판에서 HTML을 사용하는 경우 HTML 코드 중 필요한 코드에 대해서만 입력하도록 개발돼야 한다”고 당부했다.

북한 추정의 사이버공격 징후는 계속 포착되고 있다. 19일에는 2100년이라고 년도를 조작해 제작한 악성 프로그램이 발견됐으며, 국내 비트코인 트레이딩 사이트의 지원서로 위장한 한글HWP 악성파일을 제작한 정황도 드러났다. 이처럼 가상화폐 거래소에 대한 지속적인 공격이 이어지자, 일각에서는 한국의 특정 서버를 해킹해 명령제어(C&C) 서버로 사용하는 것으로 보인다는 의견도 제기하고 있다.

이렇듯 가상화폐 거래소 공격이 계속 포착되고 있는 가운데 중국 정부가 Great Firewall로 국내 가상화폐 거래소에서의 거래를 차단할 수 있다는 의견도 나오고 있다. 이는 북한의 외화벌이 수단인 가상화폐 거래소의 해킹 이슈와 사이버공격 시도 등이 집중화되고 있는 가운데 제기된 것으로, 향후 중국 당국의 움직임이 주목되고 있다.

권석철 대표는 “중국에서 한국의 가상화폐 거래소를 차단하기 위해 Great firewall을 적용한 것은 비트코인으로 인해 그동안의 종이화폐와 기존 시장질서의 위협으로 느껴졌기 때문에 설치 운용하는 것으로 보인다”고 추측했다.

한 보안업계 대표는 “2009년 이후 사이버 공격은 그 이전의 공격과 명확히 다른 양상을 보인다. 이전에는 기술적 취약점에 대한 1차원적 공격이었다면, 이후 발생한 사이버공격들은 특정한 목적을 달성하기 위한 일련의 과정을 거치고 있다. 여기에는 피싱 등 인적 취약점에 대한 공격은 물론 소프트웨어를 활용한 우회 공격 등 다양한 방법이 강구되고 있다”고 설명했다.

특히, 인터파크 공격에서 잘 드러난 것처럼 사이버공격 이전에 공격대상을 물색하고 공격 대상에 특화된 공격도구를 제작하는 등 은밀한 사이버전 양상을 띠고 있다는 얘기다.

이러한 공격에 효과적으로 대응하기 위해서는 변화 추적을 바탕으로 한 보안분석 등 침해사고 라이프사이클 전체를 꼼꼼히 체크해 알려지지 않은 공격에 대응할 수 있도록 해야 한다는 게 그의 설명이다.

서울여자대학교 김명주 교수는 “남북관계가 긴장일로로 치닫고 있을 때 정보전이나 사이버테러를 중심으로 한 국경 없는 비정규전은 가속화될 수밖에 없다”며 “특히, 사회기반 시설이나 국민 대다수를 대상으로 한 정보화서비스 대상 공격은 북한 입장에서 매력적일 수밖에 없다”고 설명했다.

따라서 정부 및 공공기관은 물론 공공 서비스를 제공하는 기업·단체에 대한 보안점검이 강화돼야 하며, 만일의 사태에 대비해 업무영속성 계획과 사이버재난방지 대책을 철저히 마련해 놓아야 할 것으로 보인다. 이와 더불어 중장기적으로는 국내 보안인력층의 스펙트럼을 넓힐 수 있도록 인적자원 확충계획도 내실있게 추진해 나가야 한다고 김 교수는 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#보안뉴스    #북한   #피싱   #다음   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)