파이어아이, 국내 언론사에 온라인 광고 제공하는 외주 광고 업체 공다 익스플로잇 킷에 의해 악용된 정황 확보

  • 수 천명에 달하는 국내 언론사 웹사이트 방문자 금융 정보 노출 위협
  • 공다 익스플로잇 킷 활동의 90% 국내에 집중돼…관련 보안 대책 필요

2016년 05월 17일 - 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)가 국내 대형 언론사 웹사이트에 온라인 광고를 제공하는 외주 광고 업체의 서버가 공다 익스플로잇 킷(GongDa Exploit Kit)에 의해 악용됐다고 밝혔다. 파이어아이에 따르면, 해당 사이버 공격은 웹사이트 방문자의 금융 정보 탈취를 목적으로 파밍 악성코드를 이용했으며, 이로 인해 수 천명의 금융 정보가 노출 위협에 휩싸였다고 전했다.

공다 익스플로잇 킷을 이용한 이번 공격은 인터넷 광고를 통해 악성 코드 배포하는 전형적인 멀버타이징(Malvertising) 방식을 이용했다. 실제로 외주 광고 업체가 국내 언론사 웹사이트에 제공하는 광고 HTML에는 악의적인 아이프레임(iframe) 스크립트가 삽입되어 있었으며, 이는 웹사이트 방문자를 공다 익스플로잇 킷의 랜딩페이지로 유인한다.

공격이 성공적으로 이루어지면 피해자의 컴퓨터에 프록시 자동구성(PAC) 설정을 변경하여 피싱사이트 접속을 유도하는 악성코드인 블랙문(BlackMoon)을 다운받는다. 블랙문은 금융 트로이목마 악성코드로 피해자의 인터넷 뱅킹 계정 혹은 OTP와 비밀번호와 같은 금융 정보를 탈취한다. 파이어아이에 따르면, 현재 감염된 언론사 웹사이트를 방문한 수 천명의 방문자들이 블랙문 악성코드에 의해 금융 정보 노출 위협에 처했다고 전했다.

한편, 공다 익스플로잇 킷은 한국을 집중적으로 타깃하는 익스플로잇 킷으로, 파이어아이는 2016년 1월부터 4월 말까지 공다 익스플로잇 킷에 노출된 사용자의 국가별 분포를 조사한 결과, 90% 가량이 국내에 집중돼있었다고 밝혔다. 공다 익스플로잇 킷은 기존에 자바, 인터넷익스플로러, 플래시 취약점을 주로 이용하는데, 이번 공격에서는 앵글러 익스플로잇 킷(Angler Exploit Kit)의 취약점 일부를 복사해서 사용했다는 점에서 주목할 만 하다.

파이어아이는 공다 익스플로잇 킷을 이용한 국내 사이버 공격의 배후에 중국 기반 사이버 그룹이 있다고 추정하고 있다. 해당 조직은 주로 경제적 이익을 목적으로 하고 있으며, 지속적으로 공격 수단과 소셜 엔지니어링 기법을 발전시켜 나가고 있다. 파이어아이는 해당 조직이 국내 사용자를 대상으로 공다 익스플로잇 킷을 이용한 사이버 위협을 지속할 것이라고 예상하고 있다.

파이어아이 연구원들은 “외주 광고 업체를 경유한 이번 공격 사례에서도 알 수 있듯이, 기업의 보안을 강화하더라도 외주 업체 등 협력사의 취약한 보안을 통해 사이버 공격은 지속될 수 있다. 내부적인 보안뿐 아니라 협업하고 있는 외부 업체가 적절한 보안 체계를 갖추고 있는지 확인해야 한다”고 전하며, “공다 익스플로잇 킷이 국내 기관 및 사용자를 지속적으로 타깃하고 있는 만큼, 이를 효과적으로 탐지하고 대응할 수 있는 행위 분석 기반의 보안 솔루션이 필요한 시점”이라고 말했다.

[그림1] 파이어아이 동적 위협 인텔리전스가 수집한 공다 익스플로잇 킷 공격에 노출된 사용자의 국가별 분포

###

파이어아이에 대하여
파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포브스 선정 글로벌 기업 2000개 중 680개 기업을 포함한 4,400개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

 

자료 문의

파이어아이 코리아    김세라 이사 / 02-559-0726 / sera.kim@fireeye.com
민커뮤니케이션        대표메일 fireeye@mincomm.com

정민아 실장 / 010-6282-0677 / mina@mincomm.com
김준경 이사 / 010-7176-5424 / joon@mincomm.com
정유림 대리 / 010-9914-5529 / yurim@mincomm.com