파이어아이, 웹 분석 툴 ‘위치코븐’ 통해 사용자 정보 수집 정황 발견

핀포인트 타깃 공격으로 이어질 수 있어...

  • 그룹, 웹 분석 툴인 위치코븐 스트립트 이용해 사용자의 컴퓨터 및 브라우저 정보 수집
  • 수집된 정보를 통한 정교화된 핀포인트 타깃 공격으로 이어질 수 있어 주의 요망

2015년 11월 19일 – 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.com/kr/ko)는 지난 해 초부터 확인되지 않은 공격 그룹이 웹 분석 오픈 소스 툴인 ‘위치코븐(WITCHCOVEN)’을 이용해 특정 타깃 인터넷 사용자의 컴퓨터 및 브라우저 정보를 추적, 수집한 정황을 포착했다. 파이어아이는 이것이 국가의 후원을 받는 공격 그룹에 의한 소행일 것이라고 추측했으며, 타깃에 대한 정보 수집 후 보다 정교한 공격 수단을 이용해 공격 성공률을 높일 수 있다는 점에서 위협적이라고 전했다.

공격 그룹은 합법적인 홈페이지의 HTML 코드를 변형시켜 사용자가 해당 웹사이트에 방문하면 프로파일링 스트립트, 즉, ‘위치코븐’ 스트립트가 호스팅되는 웹사이트로 리다이렉트 하는 워터링홀 수법을 이용했다. 파이어아이는 현재 감염된 웹사이트가 100개 이상인 것으로 추정하고 있다.

위치코븐은 사용자 모르게 백그라운드에서 실행돼 방문자의 컴퓨터 및 브라우저 정보를 파악한 뒤 지속적으로 사용자 정보를 트래킹하는 ‘슈퍼쿠키(Supercookie)’라는 웹툴을 사용자 컴퓨터에 심었다. 슈퍼쿠키는 사용자 컴퓨터 내 여러 개의 스토리지에 쿠키를 생성하고, 삭제된 쿠키를 재생성 해 지속성을 확보하는 오픈소스 웹툴이다. 파이어아이는 이달 초, 총 14개의 웹사이트가 위치코븐 스크립트를 호스팅하고 있는 것을 탐지했다.

공격 그룹은 프로파일링 활동을 통해 IP주소, 브라우저 타입 및 버전, 브라우저 언어 설정, 사이트 방문 기록 등의 정보를 수집할 수 있다. 또한, 이를 통해 특정 타깃에 최적화된 공격 수단을 선택할 수 있다. 예를 들어, 사용자가 구 버전의 SW를 사용하는 경우, 해당 SW의 취약점을 이용한 공격을 행하는 것이다. 실제로, 중국 기반의 지능형 공격 그룹인 APT3의 경우 플래시 제로데이 취약점 공격 이전에 프로파일링 스크립트를 이용했으며, 러시아 기반 그룹인 APT28도 역시 비슷한 정황이 발견된 바 있다.

또한, 감염된 웹사이트들은 일정한 패턴을 가지고 있어 무작위로 감염된 것이 아니라 공격 대상을 선택해 진행하는 것으로 추측된다. 파이어아이는 감염된 웹사이트를 분석한 결과, 공격 그룹이 미국과 유럽에 있는 기업인, 외교관, 정부 관료, 군 인사에 관심이 있으며, 비자 서비스를 제공하는 회사와 미국의 특정 대사관이 포함돼 있다고 밝혔다. 이를 미루어볼 때, 공격 그룹은 미국 정부 관료 혹은 러시아, 중동 및 아프리카를 여행하는 기업인을 타깃하고 있는 것으로 추측된다.

파이어아이는 공격의 범위, 공격의 타깃, 공격의 보안 수준을 기준으로 분석한 결과, 이번 정황이 미래의 사이버 공격을 위해 사전 정보를 수집하는 정부 지원 공격 그룹의 소행이라고 추측한다고 전했다. 우선 전 세계에 걸쳐 정보를 수집하는 등 공격 범위가 넓고, 사용자 모르게 스크립트를 실행해 높은 수준의 보안을 유지하며, 특정 대상을 타깃해 일정한 패턴 하에 웹사이트를 감염시키는 것이 그 근거다.

파이어아이의 전수홍 지사장은 “웹 분석 툴은 기존에도 마케팅 회사들이 고객들의 구매 패턴을 파악하고 사이트를 사용자의 브라우저에 최적화하는데 쓰였던 기술이다. 이번 발견을 통해 해당 기술이 보다 정교한 사이버 공격에 이용될 수 있다는 사실이 밝혀진 것”이라며 “웹 분석 툴을 이용한 공격은 공격 대상의 컴퓨터 환경을 파악해 공격의 성공률을 높일 수 있다는 점에서 위협적”이라고 설명했다.

참고자료

[그림1] 감염된 웹사이트와 위치코븐 스크립트를 이용한 정보 수집 과정

[그림2] 산업군 별로 분류한 감염된 웹사이트 (2015년 11월 1일 기준)

###

파이어아이에 대하여
파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포춘 선정 글로벌 기업 200개 기업을 포함한 3,100개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

자료 문의

파이어아이 코리아         이상도 이사  / 02-559-0730 / sangdo.lee@fireeye.com

민커뮤니케이션                     대표메일 fireeye@mincomm.com

정민아 실장 / 010-6282-0677 / mina@mincomm.com

민초롱 대리 / 010-2845-0625 / chorong@mincomm.com

정유림 A.E / 010-9914-5529 /yurim@mincomm.com