공격자들, 한국만 전문적으로 공격...금융정보 탈취 전문 도구까지 활용

지난 주 웹을 통한 악성코드 감염에 이어 공격자가 개인 PC에 저장되어 있는 수천여건의 인증서를 수집해 관리해온 정황이 포착됐다. 지난해 유출로 확인된 인증서 숫자보다 몇십배 많은 6천947건의 인증서가 일주일만에 탈취된 것이 확인됐다.

빛스캔(대표 문일준) 측은 해당 정보를 KISA 등에 제공해 인증서 폐기 등 대응이 진행됐다고 밝혔다.

취약한 웹서비스를 통해 접속만 해도 감염되는 악성코드에 의해 단 1주일간 탈취된 PC용 공인인증서 유출이 2013년 PC와 모바일을 모두 합친 규모와 동일수준의 대규모 유출 사례가 확인 되었다.

또한 PC용 공인인증서만을 대상으로 한 사례이므로 전년도 PC용 공인인증서 유출 확인 이슈인 777건에 비해 1주일 동안 확인된 유출 건수만 6,947건으로, 단순 수치상으로도 최대 규모 유출이 직접 확인된 상황이다.

빛스캔 측은 “이번 유출 건은 한국 인터넷상에서 웹을 통한 악성코드 대량 유포를 관찰하고 있는 빛스캔의 추적에 의해 유출 확인이 되었으며, 2014년 4월 25일부터 5월 2일까지 단 일주일간 국내 사용자들을 대상으로 악성코드 감염 이후 광범위하게 금융정보를 탈취한 정황을 확인한 첫 사례이며 최대 규모 유출 사례”라며 “일반적으로 파밍 악성코드 감염은 이메일이나 불법파일 다운로드에 의해 감염되어 발생된다고 알려져 있으나, 실제로는 웹을 통해서 더 심각한 금융정보 탈취 피해가 발생되고 있다는 것을 증명한 사례”라고 강조했다.

이 업체체 따르면, 공격자들이 공인인증서를 탈취해 보관하는 곳은 미국의 호스팅 서버에 위치하고 있으며 감염된 좀비 PC들을 대량으로 조정하기 위한 별도 도구들도 운영을 하고 있는 것을 직접 확인했다.

관계자는 “호스트 파일의 내용을 변경해서 파밍 사이트로 연결시키는 피해가 일반적인데 이번 사례에서 확인된 대량 관리 도구의 경우는 최대 5만대 가량의 PC를 조정할 수 있도록 제작 되어 있었다”며 “즉 동시에 대규모 감염 PC들에 대한 Host 파일 변경과 PC에 대한 제어를 할 수 있도록 설정된 것이 확인됐다. 실제 피해와 일상적으로 발생되는 악성코드 감염이 알려진 것보다 휠씬 더 대규모 단위로 움직이고 있다는 것을 확인한 것”이라고 밝혔다.

<최대 5만대 이상을 관리하도록 설정된 대규모 Host 파일 변경 용도 관리도구 화면>

공격자 서버의 접속로그를 통해서 살펴보면, 미국에 있는 호스팅 서비스 임에도 불구하고 한국내 IP들이 상당부분을 차지하고 있음을 볼 수 있다. 즉 공격자들은 한국 인터넷 환경만을 대상으로 한 전문적인 공격을 실행하고 있고, 또한 금융정보 탈취를 위해 전문 도구들까지 제작해 활용하는 상태임을 알 수 있다.

<C&C 서버의 특정일자 웹로그 분석 결과>

한국 인터넷 환경을 위협하는 공격자들은 금융 정보 탈취를 위해 인증서를 탈취하고, 이후 차단에 대비해 대규모로 정보를 변경하는 관리도구들까지 이용하는 실체가 처음 확인된 것이다. 빛스캔 측이 분석한 이들의 일반적인 공격의 순서는 다음과 같다.

1. 다수의 웹서비스를 통해 접속만으로도 악성코드에 감염되도록 설정

2. 모든 접속자들은 취약한 Java ,IE , Flash 버전 사용시에 즉시 감염됨

3. PC 내에 존재하는 공인인증서 파일을 암호 압축하여 관리서버로 전달

4. 감염된 PC들은 별도의 좀비PC 관리 프로그램으로 관리

공격자 서버에 탈취된 대규모 금융정보들은 확인된 인증서만 6,947건이다. 유출된 공인인증서는 모두 한국인터넷진흥원(KISA)에 전달됐으며 공인인증기관을 통해 신속히 가입자에게 유출 사실을 알리고 인증서 폐기 등의 조치를 완료한 상태다. 금융정보를 탈취하는 해커의 서버(C&C)도 차단 조치해 추가 피해자가 발생되지 않도록 대응이 이루어진 상황이다.

하지만 악성파일의 변형은 지속해서 생성이 되고 매번 보안도구들의 탐지를 우회하고 있는 형태라 앞으로도 금융정보 탈취를 비롯한 다양한 문제들은 계속될 것으로 전문가들은 보고 있다.

<공격자 서버에서 발견된 공인인증서 탈취 내역. 디렉토리마다 압축파일로 존재>

문일준 빛스캔 대표는 “악성코드 감염은 단순히 사용자의 주의 촉구만으로는 해결되기 어려운 문제다. 전체 환경 개선을 위해 각 서비스 제공자들의 강력한 노력들이 결합되어야 가능한 난제”라며 “악성코드 감염 범위를 줄이기 위해, 국내 인터넷 서비스의 취약성을 개선해야 하고 대량 유포에 이용되는 통로들을 빠르게 확인하고 차단함으로써 피해를 줄일 수 있도록 노력해야 현재의 위험들을 줄일 수 있을 것”이라고 권고했다.

또한 “인증서를 PC나 인터넷 상에 보관하는 경우, 해킹을 통해 빼가기 쉽기 때문에 해커들의 표적이 되기 쉽다. 특수문자 포함 등 안전한 비밀번호 사용이 필요하며, 공인인증서 유출 방지 기능이 있는 보안토큰 등 안전한 저장장치에 보관해 사용하는 것이 보다 안전할 것”이라며 “그러나 근본적으로 악성코드 감염을 예방해야 하지만 일반 사용자 측면에서는 백신 이외에는 대책이 없는 상황이다. 감염을 예방하기 위해서는 Java, Flash, IE의 업데이트를 최신으로 유지해야 한다. 또 근본적으로는 웹을 통한 대규모 악성코드 감염을 관찰하고, 조기에 대응 할 수 있도록 서비스 사업자 및 기업, 기관들의 각별한 노력이 필요하다”고 강조했다.

데일리시큐 길민권 기자 mkgil@dailysecu.com