전체메뉴

[애플경제 김향자 기자]특정 언론사 홈페이지에 침투, 악성코드를 설치한 후 이에 접속하는 다른 언론사나 공공기관, 정부 기관, 그리고 수많은 기업과 독자들을 감염시키는 이른바 ‘워터링홀’ 수법이 횡행하고 있어 보안당국이 경계령을 내렸다.

28일 ‘인터넷보호나라’ 사이트에 따르면 가장 악질적인 랜섬웨어 그룹인 라자루스(Lazarus) 그룹이 최근 이런 수법으로 국내 언론사를 집중 공격하고 있는 것으로 드러났다. 이미 일부 언론사는 이로 인해 일부 피해를 입기도 한 것으로 알려졌다.

사이트 간에 ‘도미노’ 감염 유도

라자라스 그룹은 특히 ‘워터링홀’ 수법을 즐겨 쓰는 것으로 알려졌다. 마치 사자가 물가에 숨어있다가 물을 마시러 오는 동물들을 사냥하듯이, 특정 사이트에 침투, 이에 접속하는 불특정 다수를 감염시키는 것이다. 이런 수법으로 라자루스는 이미 그 동안 국내의 많은 기업은 물론, 보안 소프트웨어에까지 침투하곤 했다.

보안소프트웨어를 다운로드 받은 수많은 사용자들을 감염시켜 온 라자루스는 이번에는 국내 주요 언론사 홈페이지를 집중 공략하는 것으로 전해졌다. 언론사 홈페이지는 수많은 일반 독자와 정부 및 공공기관 등 가장 많은 외부 접속자들이 붐비는 곳이다. 그래서 만약 이들의 의도가 성공할 경우 수 백 만 혹은 그 이상의 사용자들에게 악성코드를 전파하게 되는 것이다.

이 소식을 들은 보안업체 S사의 박 모 기술이사는 “그렇게 되면 그야말로 ‘전쟁’에 버금가는 국가적 대재앙이 초래될 것”이라며 “보안 SW를 개발하는 본사로서도 극히 조심해야 할 상황”이라고 했다.

이들 라자루스 공격자는 주로 언론사 홈페이지의 기사 페이지에 악성 스크립트를 삽입, 워터링홀 페이지로 악용하고 있다. 그래서 사용자들이 해당 페이지에 접속할 경우 보안 소프트웨어 취약점을 통해 악성코드를 설치하는 수법을 구사한다.

보안당국, 사악한 범죄자 ‘고블린’으로 명명

흔히 워터링홀 공격자들은 브라우저에서 동작하는 플래쉬, 자바스크립트, VBScript, ActiveX, XSS, HTML, 이미지 등의 취약점을 공격에 악용한다.

이번도 이들은 특히 취약점에 대비한 패치가 미처 개발되지 않은 상태인 ‘제로데이’의 취약점을 악용한 것으로 드러났다.

“이 과정에서 공격자는 보안 솔루션 개발업체의 소스코드를 탈취하여 취약점 코드를 개발한 것으로 드러났다.”고 짚은 인터넷진흥원측은 “워터링홀 공격을 위해서 언론사 사이트를 이용하고, 명령제어지를 구축하기 위해 호스팅 업체를 악용하는 등 국내 인프라를 이용한 공격 범위 확장을 지속하고 있다”고 주의를 당부했다.

너무나 그 수법이 교활하고 사악한 나머지 보안당국은 이들이 행각을 ‘Operation GoldGoblin(고블린 작전)’ 이라고 명명하기도 했다. 그러면서 “‘고블린’이란 주로 탐욕이 많고 비열한 존재를 의미한다. 이 명칭은 사고 조사 과정에서 라자루스 그룹이 보여주었던 행위를 반영하여 명명했다”고 그 의미를 자세히 설명하기도 했다. 즉, 언론사 해킹을 통한 워터링홀 공격이나, 그룹웨어 또는 호스팅 서비스 해킹을 통한 명령제어지를 탈취 악용하고, 소스코드와 자원을 강탈하는 모습은 ‘탐욕스러운 고블린’을 떠올리게 한다는 얘기다.

이전 탈취한 소스코드 악용, 보안SW개발사 공격

라자루스는 과거에도 보안 소프트웨어 개발사의 소스코드를 탈취한 적이 있다. 놀라운 것은 최근 공격에선 당시 탈취했던 보안 소프트웨어의 제로데이 취약점을 악용한 점이다. 해당 소프트웨어가 미처 패치를 준비하기 전에 그 틈새를 노린 것이다.

그 과정에서 “과거 탈취한 소스코드를 분석하여 취약점을 공격하는 코드를 제작하고, 이어서 다른 개발사를 공격하는 등 추가적인 공격도구를 준비하는 모습을 보였다”는 것이다. 또한 “취약점을 악용한 워터링홀 공격 대상에 특정 언론사 홈페이지가 포함되었는데, 이 회사는 과거에도 이미 한 차례 라자루스의 공격을 받은 것으로 밝혀졌다”고 했다.

언론사 홈페이지 공격은 자칫 사회 전반에 치명적 피해를 안길 수 밖에 없다. 흔히 언론사들끼리 서로 보도 내용을 확인하기 위하여 홈페이지를 모니터링하기도 한다. 만약 한 곳이 감염되었을 경우 전 언론사들이 감염된다.

그러면 언론매체를 접하는 대부분의 독자들도 감염될 수 밖에 없다. 그렇게되면 개인 독자는 물론, 공공기관이나 수많은 기업, 그리고 정부기관까지 안심할 수 없다. 최악의 경우 국가 기능 자체가 마비될 수도 있는 것이다.

보안당국에 따르면 특히 이번 공격에서 악용된 ‘보안 소프트웨어’는 인터넷 뱅킹 등을 위해선 반드시 설치되는 소프트웨어로 알려져있다. 이는 시장점유율도 약 20%에 달할 정도로 대중적인 상품이다. 그래서 “이번 사이버 공격에 대응하는 과정에서 해당 소프트웨어가 취약점을 막기위해 선제적인 조치를 취하지 않았다면 수백만 명이 위협에 노출되었을 것”이라고도 한다.

“시스템 파괴 악성코드 실행되면 사회적 대혼란”

한편 이번 공격자가 구사한 타깃형 워터링홀 공격은 IP 필터링을 통해 타깃군을 설정, 공격을 수행하는 수법이다. 인터넷진흥원은 “만약 필터링 없이 전방위적인 공격을 수행했다면 탐지 시점은 앞당겨질 수 있을지 모르나, 그 피해 규모는 주체할 수 없이 확산되었을 것”이라면서 “특히 최초 침투 후 내부 전파를 거쳐 시스템을 파괴하는 악성코드가 실행되었다면 사회적 대혼란이 야기되었을 것”이라고 지적했다.

특히 “기업체 중에서 이번에 공격 대상이 된 곳은 그룹웨어나 인프라 운영업체가 포함되는 등 해킹이 성공할 경우 파급력이 매우 큰 기업들이 대부분이었다”며 “해당 기업들의 침해사고는 고객에게 확산될 수 있었으며 큰 피해로 이어질 수 있었다”고 ‘위기일발’의 순간을 전하기도 했다.

한편 인터넷진흥원과 경찰청 안보수사국, 사이버안보센터 등은 피해를 본 언론사, 보안 소프트웨어 개발사, 그룹웨어 개발사 등을 대상으로 실제 피해가 발생하기 전에 드러난 위협을 제거한 것으로 알려졌다.

인터넷진흥원은 “이번 피해기업 외에도 피해 사실이 드러나지 않은 기업이 존재할 수도 있으므로, 이번 라자루스 공격을 당한 기업과 같은 분야의 업체들은 필히 자체 점검을 해야 할 것”이라고 당부했다.