[보안칼럼]악성코드 유포지 공격, 남일 아니다

최근 은닉사이트 매개체를 통한 악성코드 유포지 URL 공격은 대형 병원, 웹하드업체, 커뮤니티 사이트, 대기업 및 언론사 등 방문자 수가 몰리는 주요 웹사이트를 주요 타깃으로 끊이지 않고 있다. KISA 보고서에 따르면 탐지된 악성코드 은닉사이트는 2012년 1만3018건에서 2013년 36% 증가한 1만7750건에 달했다

악성 유포지 URL이라는 일반인에게 다소 생소한 이 용어를 보다 더 쉽게 설명한다면 악성코드 유포지는 홈페이지에 악성코드를 숨겨 놓아 방문 이용자 컴퓨터에 악성코드를 실제 유포하는 웹사이트를 말하며, 경유지는 이용자 모르게 악성코드 유포지로 연결시켜 주는 웹사이트를 말한다. 해외서도 ‘옹달샘 공격(Watering Hole Attack)’으로 표출된 바 있다. 사자가 옹달샘 근처에 숨어 있다가 물을 마시러 오는 먹잇감을 잡아 먹는다는 이야기에서 나온 표현으로 공격자가 악성코드 배포지로 리디렉트(Redirect)하기 위해 특정 타깃 웹사이트의 취약점을 이용해 악성 자바 형식의 악성 웹쉘과 HTML 형태의 악성 URL코드를 삽입한 후, 이 배포지에 접속하는 먹잇감을 사자가 인내심을 가지고 기다린 후에 잡아먹는다는 개념이다.

우리나라에선 과거 악의적인 웹셸을 웹서버에 심어놓고 원거리에서 지속적인 악성유포지 URL을 생성해 공격용 C&C 서버를 통해 개인 PC를 무차별 공격하는 방식이 쓰인 바 있으며 그 대표적인 사례는 ‘3·20 사이버테러’ 및 ‘3·4 DDoS 대란’ 등을 들 수 있다. 일반 기업체는 이러한 크고 작은 유형의 사이버 공격이 그 수를 헤아리기 힘들 정도고 그 피해 역시 심각한 상황이다. 그렇다면 과연 어떻게 대처해야 할까?

‘일반 개인PC의 보안을 철저히 해라’라는 대답이 답이 될 수 있을까? 개인적으로는 이 부분을 받아들일 수 없다. 제한적이고 부분적인 보안은 가능하겠지만 체계적인 궁극적 보안은 불가능하기 때문이다. 그리고 진화된 미래 공격은 결코 어설픈 과거와 같지 않을 것이기 때문이다. 그렇다면 가장 효과적인 해답은 이들 업체들이 공격자보다 보안에 있어 더욱 신중해지고 더욱 스마트한 보안 마인드를 갖고 있어야 한다는 것이다.

웹애플리케이션 및 웹소스 코딩의 취약점을 파악하는 것을 기본으로 하고 외부 네트워크의 공격을 방어하는 전문 웹방화벽 적용 및 웹셸 탐지 및 방어 전문업체의 솔루션 도입을 통해 외부 및 기업 내부로부터의 공격에 대비해 악성 유포지 URL의 한발 앞선 관리가 보강돼야 한다. 악성유포지 URL의 가장 확실한 방어는 지금과 같이 다양성과 변동성이 큰 악성코드 유포지 URL의 블랙리스트 관리를 통한 예외 처리 방식 이외에도 업체 내의 자체 관리 및 예외 처리를 가능하게 할 수 있도록 화이트리스트 관리 방식과의 병행 노력이 필요하다.

대기업이 운영하는 대형 웹사이트는 기업 내부 웹 개발 부처 간 화이트리스트 URL 관리 협조가 잘 이뤄지지 못하고 있고 이를 담당할 전문 부서 및 인원이 충족돼 있지 못해 악성URL의 화이트리스트 사각지대로 남아 있다. 그러나 시대가 변하면 방식도 바뀌어야 한다.

결국 웹보안의 가장 큰 책임자는 개인이 아닌 웹서비스를 하고 있는 해당 업체기 때문이다. 앞으로 체계적인 보안 관리 프로세스에 따른 웹셸 및 악성코드 유포지 URL 제거와 웹 프로그램의 시큐어코딩이나 정기적인 취약점 점검을 통해 웹 서버 해킹에 대응해야 하며 이것이 궁극적인 통합 웹보안의 방향이 되기를 기대한다.

방윤성 유엠브이기술 대표 banyu01@umv.co.kr