웹 분석 툴 ‘위치코븐’을 이용한 사용자 정보 수집 정황이 포착됐다. 공격 대상 컴퓨터 환경을 파악해 공격 성공률을 높인다는 점에서 위협적이다.
파이어아이(지사장 전수홍)는 지난 해 초부터 확인되지 않은 공격 그룹이 웹 분석 오픈 소스 툴 ‘위치코븐’을 이용해 특정 인터넷 사용자 컴퓨터와 브라우저 정보를 추적·수집한 정황을 발견했다고 19일 밝혔다.
공격 그룹은 합법적인 홈페이지 HTML 코드를 변형했다. 사용자가 해당 웹사이트를 방문하면 프로파일링 스크립트가 호스팅 되는 웹사이트로 다시 보내는 워터링홀 수법을 이용했다. 100개 이상 사이트가 감염된 것으로 추정된다. 파이어아이는 국가 단위 후원을 받는 공격 그룹 소행으로 내다봤다.
위치코븐은 사용자 모르게 백그라운드에서 실행된다. 방문자 컴퓨터와 브라우저 정보를 파악한 뒤 사용자 정보를 지속 추적하는 ‘슈퍼쿠키’라는 웹툴을 사용자 컴퓨터에 심는다. 사용자 컴퓨터 내 여러 저장 공간에 쿠키를 생성하고 삭제된 쿠키를 재생성해 지속성을 확보하는 오픈소스 웹툴이다.
프로파일링으로 IP주소와 브라우저 타입·버전, 언어설정, 사이트 방문 기록 등 정보를 수집한다. 이를 바탕으로 특정 목표에 최적화된 공격 수단이 가능하다.
감염된 웹사이트 역시 일정 패턴을 보여 선택적 공격이 진행된 것으로 보인다. 파이어아이는 감염 웹사이트 분석 결과 공격 그룹이 미국과 유럽에 있는 기업인, 외교관, 정부 관료, 군 인사 등에 관심 있으며 비자 서비스 제공 회사와 미국 특정 대사관 등이 포함돼 있다고 밝혔다. 미래 사이버 공격을 위한 사전 정보 수집 과정으로 추정된다는 것이다.
전수홍 파이어아이 지사장은 “웹 분석 툴은 기존에도 마케팅 회사가 고객 구매 패턴을 파악하고 사이트를 사용자 브라우저에 최적화하는데 쓰던 기술”이라며 “웹 분석 툴을 이용한 공격은 공격 성공률을 높이는 고도화된 정보 수집이 이뤄진다는 점에서 위협적”이라고 말했다.
박정은기자 jepark@etnews.com
