국내 뉴스사이트에서 자동으로 악성코드를 유포하는 도구(익스플로잇 킷)이 포착됐다. 2년 전에 성행한 구식 익스플로잇 킷이지만 사이버 공격수단으로 여전히 유효한 것으로 나타났다.
파이어아이(지사장 전수홍)는 21일 공다(GonDA) 익스플로잇 킷이 국내 일부 뉴스 사이트에서 유포된 정황을 확인했다고 밝혔다.
공다 익스플로잇 킷은 취약점 공격(익스플로잇)을 이용해 취약한 엔드포인트를 감염시킨다. 타깃 시스템에 유해한 악성코드를 설치한다. 자바(JAVA) 취약점을 이용하는 비교적 오래된 공격 수단이다. 어도비 플래시 플레이어와 MS 비주얼 베이직 스크립트 관련 익스플로잇도 포함했다.
파이어아이는 공다 익스플로잇 킷이 중국에 기반을 둔 것으로 추정했다. 중국 최대 규모 인터넷서비스공급업체(ISP)인 차이나 텔레콤의 네트워크 AS4134가 호스팅하는 인프라를 지속적으로 사용했기 때문이다. 스탯카운터 추적 결과 다수 공격이 차이나 텔레콤이 호스팅하는 중국 웹 트래픽 서비스를 이용했다.
전수홍 파이어아이 지사장은 “공다 익스플로잇 킷을 이용한 공격은 아시아태평양 지역에서는 비교적 흔한 공격 수법”이라며 “이미 패치된 취약점과 알려진 익스플로잇 킷을 이용한 공격이 국내에서 아직 효력을 발휘한다는 것은 많은 국내 사이트가 체계적인 방어 시스템을 갖추지 못했다는 의미”라고 말했다.
박정은기자 jepark@etnews.com
