[취재후] 내 PC 안전할까?…매복형 해킹이 무서운 이유

입력 2017.05.31 (15:57)

읽어주기 기능은 크롬기반의
브라우저에서만 사용하실 수 있습니다.

[취재후] 내 PC 안전할까?…매복형 해킹이 무서운 이유

[취재후] 내 PC 안전할까?…매복형 해킹이 무서운 이유

'랜섬웨어', 몸값(Ransom)과 소프트웨어(Software)를 합친 말이다. 컴퓨터 파일을 암호화하면서 이를 인질로 금전을 요구하는 사이버 공격의 용어다.

얼마 전, 전 세계는 컴퓨터 데이터를 인질로 삼는 범죄에 시달렸다. 유럽과 러시아 등이 피해가 컸다고 하지만 우리나라도 예외는 아니었다. 극장 스크린에도 등장했고 정육점 카드 단말기에도 나타났고 영어 시험을 치르는 컴퓨터에도 모습을 드러냈다.

패치가 배포되면서 대규모 랜섬웨어 공격은 일단락 된 모습이다. 정확히는 당할 컴퓨터는 다 당했다는 말이 옳을 듯하다. 물론 지금 이 시간에도 다양한 종류의 랜섬웨어 공격은 계속되고 있지만...

그런데 낯선 용어의 사이버 공격이 또 등장했다. (물론 사이버공격 세계에서는 오래된 용어이다.)

'워터링홀'. Watering Hole, 말 그대로 ‘물웅덩이’란 의미다. 사자가 먹이를 찾아 돌아다니지 않고 물웅덩이에 매복해 먹이가 나타나기를 기다리는 것을 빗대었다고 한다.

[연관기사] [뉴스9] 외교·통일·금융 분야 ‘北 해킹 징후’ 포착

지난 2월부터 5월까지 3개월 동안 외교, 통일, 항공우주, 금융 관련 협회, 학회, 노조 등의 웹사이트가 해킹 공격을 받았는데 국내 사이버전연구센터에서 추적하고 분석을 했더니 ‘워터링홀’ 공격으로 나타났다.

즉, 각 홈페이지의 소스를 분석해봤더니 악성코드가 심어져 있었다는 것. 그런데 악성코드는 일시적으로 들어왔다 나간 곳도 있고 오랜 시간 계속 코드가 살아있는 곳도 있었다.

해커가 노린 것은 무엇일까? 기관이나 기업 사이트도 아니고 상대적으로 보안이 취약한 협회나 학회, 노조 사이트 등에서 무엇을 얻고자 한 것일까?

랜섬웨어는 금전을 취득하려는 목적이 강하지만 워터링홀은 표적이 나타나기를 기다리는 공격이다. 다시 말해 누군가에게서 정보를 빼내려는 목적이 강하다. 그러니까 외교, 통일, 항공우주, 금융 등의 분야에서 정보를 빼내가겠다는 의도로 볼 수 있다. 관심이 낮은 홈페이지에 덫을 깔아 놓고 누군가 관계된 단 한사람이라도 접속을 하면 해당 PC에 악성코드를 집어넣겠다는 의도다.

예를 들면 외교 관련 사이트에 덫을 놓고 기다리다 어느 순간 외교부 관계자가 접속하면 그 PC를 장악하겠다는 의도다. 그리고는 중요 정보를 조용히 탈취하면서 외교부 내 또 다른 사람에게 악성코드를 전파시키고 또 정보를 얻는 과정을 반복하다 어느 순간 외교부 내 컴퓨터를 모두 마비시키겠다는 공격이다.

그렇다면 악성코드가 심어진 사이트에 접속만한다고 어떻게 내 컴퓨터로 침투한다는 말일까?

여기서 이번 워터링홀 공격의 중요한 키워드가 등장하는데 바로 ‘액티브X’다. 한국정보통신기술협회는 액티브X를 이렇게 정의하고 있다.

“윈도 사용자들이 인터넷을 쉽고 편리하게 이용하도록 마이크로소프트사에서 개발한 것으로, 기존의 응용 프로그램으로 작성된 문서 등을 웹과 연결시켜 그대로 사용할 수 있게 하는 기술. 인터넷 익스플로러를 위해 고안되었으며, 실생활 페이지에 접속하면 자동으로 내려받기되어 설치된다.”

연말정산하려고 국세청 사이트를 방문하면 브라우저 상단에 반짝거리는 그것. PC에서 인터넷뱅킹하기 위해 꼭 설치해야 했던 그것. 천송이코트 논란으로 사라진 줄 알았는데 아직 남아있는 그것이고 없어졌다 생각했더니 어느 순간 ‘exe’라는 유사한 존재로 둔갑한 바로 그것이다.

그런데 액티브X는 취약점이 많다. 만드는 회사마다 다르기 때문에 종류도 많다. 익스플로러를 많이 사용하는 우리나라 사람들의 PC에 많이 설치돼 있는 만큼 안전해야 하는데 문제는 그렇지 않다는 데 있다. 이 존재를 만들어낸 마이크로소프트마저도 액티브X를 사용하면 위험하다고 인정하고 포기했다.

워터링홀 공격은 바로 이 액티브X의 취약점을 노렸다. 표적 대상이 나타나면 PC로 침투하기 위해 액티브X를 통로로 활용했다. 9개 사이트에서 발견된 악성코드에서 나타난 액티브X만 9개였다. 9개 중 하나만 설치돼 있어도 들어갈 수 있다는 말이다. 심지어 이 가운데 하나는 이른바 ‘제로데이’ 즉, 취약점이 처음 발견돼 패치조차 없는 액티브X였다. 보도가 나가고 내용이 알려지면서 부랴부랴 패치를 만들어 배포한 상황이다.

워터링홀 공격 배후로 북한을 지목하고 있다. 지난해 국내 대기업 전산망 해킹 공격 때 사용된 악성코드와 이번에 발견된 악성코드가 거의 일치했기 때문이다. 당시 경찰은 북한의 소행으로 공식 발표했다.

랜섬웨어 공격 배후도 북한이 거론되고 있는 상황이다 보니 북한의 배후설이 가져오는 충격은 크지 않다. 다만 취약점을 너무나 잘 알고 공격한다는 점이 중요하다.

우리집 비밀번호를 나만 알고 있었는데 내가 모르는 누군가도 알고 있다면 얼마나 무서울까? 그래서인지, 이번 워터링홀 공격에서는 액티브X가 더 무서운 존재일지도 모르겠다.

■ 제보하기
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 유튜브, 네이버, 카카오에서도 KBS뉴스를 구독해주세요!


  • [취재후] 내 PC 안전할까?…매복형 해킹이 무서운 이유
    • 입력 2017-05-31 15:57:13
    취재후·사건후
'랜섬웨어', 몸값(Ransom)과 소프트웨어(Software)를 합친 말이다. 컴퓨터 파일을 암호화하면서 이를 인질로 금전을 요구하는 사이버 공격의 용어다.

얼마 전, 전 세계는 컴퓨터 데이터를 인질로 삼는 범죄에 시달렸다. 유럽과 러시아 등이 피해가 컸다고 하지만 우리나라도 예외는 아니었다. 극장 스크린에도 등장했고 정육점 카드 단말기에도 나타났고 영어 시험을 치르는 컴퓨터에도 모습을 드러냈다.

패치가 배포되면서 대규모 랜섬웨어 공격은 일단락 된 모습이다. 정확히는 당할 컴퓨터는 다 당했다는 말이 옳을 듯하다. 물론 지금 이 시간에도 다양한 종류의 랜섬웨어 공격은 계속되고 있지만...

그런데 낯선 용어의 사이버 공격이 또 등장했다. (물론 사이버공격 세계에서는 오래된 용어이다.)

'워터링홀'. Watering Hole, 말 그대로 ‘물웅덩이’란 의미다. 사자가 먹이를 찾아 돌아다니지 않고 물웅덩이에 매복해 먹이가 나타나기를 기다리는 것을 빗대었다고 한다.

[연관기사] [뉴스9] 외교·통일·금융 분야 ‘北 해킹 징후’ 포착

지난 2월부터 5월까지 3개월 동안 외교, 통일, 항공우주, 금융 관련 협회, 학회, 노조 등의 웹사이트가 해킹 공격을 받았는데 국내 사이버전연구센터에서 추적하고 분석을 했더니 ‘워터링홀’ 공격으로 나타났다.

즉, 각 홈페이지의 소스를 분석해봤더니 악성코드가 심어져 있었다는 것. 그런데 악성코드는 일시적으로 들어왔다 나간 곳도 있고 오랜 시간 계속 코드가 살아있는 곳도 있었다.

해커가 노린 것은 무엇일까? 기관이나 기업 사이트도 아니고 상대적으로 보안이 취약한 협회나 학회, 노조 사이트 등에서 무엇을 얻고자 한 것일까?

랜섬웨어는 금전을 취득하려는 목적이 강하지만 워터링홀은 표적이 나타나기를 기다리는 공격이다. 다시 말해 누군가에게서 정보를 빼내려는 목적이 강하다. 그러니까 외교, 통일, 항공우주, 금융 등의 분야에서 정보를 빼내가겠다는 의도로 볼 수 있다. 관심이 낮은 홈페이지에 덫을 깔아 놓고 누군가 관계된 단 한사람이라도 접속을 하면 해당 PC에 악성코드를 집어넣겠다는 의도다.

예를 들면 외교 관련 사이트에 덫을 놓고 기다리다 어느 순간 외교부 관계자가 접속하면 그 PC를 장악하겠다는 의도다. 그리고는 중요 정보를 조용히 탈취하면서 외교부 내 또 다른 사람에게 악성코드를 전파시키고 또 정보를 얻는 과정을 반복하다 어느 순간 외교부 내 컴퓨터를 모두 마비시키겠다는 공격이다.

그렇다면 악성코드가 심어진 사이트에 접속만한다고 어떻게 내 컴퓨터로 침투한다는 말일까?

여기서 이번 워터링홀 공격의 중요한 키워드가 등장하는데 바로 ‘액티브X’다. 한국정보통신기술협회는 액티브X를 이렇게 정의하고 있다.

“윈도 사용자들이 인터넷을 쉽고 편리하게 이용하도록 마이크로소프트사에서 개발한 것으로, 기존의 응용 프로그램으로 작성된 문서 등을 웹과 연결시켜 그대로 사용할 수 있게 하는 기술. 인터넷 익스플로러를 위해 고안되었으며, 실생활 페이지에 접속하면 자동으로 내려받기되어 설치된다.”

연말정산하려고 국세청 사이트를 방문하면 브라우저 상단에 반짝거리는 그것. PC에서 인터넷뱅킹하기 위해 꼭 설치해야 했던 그것. 천송이코트 논란으로 사라진 줄 알았는데 아직 남아있는 그것이고 없어졌다 생각했더니 어느 순간 ‘exe’라는 유사한 존재로 둔갑한 바로 그것이다.

그런데 액티브X는 취약점이 많다. 만드는 회사마다 다르기 때문에 종류도 많다. 익스플로러를 많이 사용하는 우리나라 사람들의 PC에 많이 설치돼 있는 만큼 안전해야 하는데 문제는 그렇지 않다는 데 있다. 이 존재를 만들어낸 마이크로소프트마저도 액티브X를 사용하면 위험하다고 인정하고 포기했다.

워터링홀 공격은 바로 이 액티브X의 취약점을 노렸다. 표적 대상이 나타나면 PC로 침투하기 위해 액티브X를 통로로 활용했다. 9개 사이트에서 발견된 악성코드에서 나타난 액티브X만 9개였다. 9개 중 하나만 설치돼 있어도 들어갈 수 있다는 말이다. 심지어 이 가운데 하나는 이른바 ‘제로데이’ 즉, 취약점이 처음 발견돼 패치조차 없는 액티브X였다. 보도가 나가고 내용이 알려지면서 부랴부랴 패치를 만들어 배포한 상황이다.

워터링홀 공격 배후로 북한을 지목하고 있다. 지난해 국내 대기업 전산망 해킹 공격 때 사용된 악성코드와 이번에 발견된 악성코드가 거의 일치했기 때문이다. 당시 경찰은 북한의 소행으로 공식 발표했다.

랜섬웨어 공격 배후도 북한이 거론되고 있는 상황이다 보니 북한의 배후설이 가져오는 충격은 크지 않다. 다만 취약점을 너무나 잘 알고 공격한다는 점이 중요하다.

우리집 비밀번호를 나만 알고 있었는데 내가 모르는 누군가도 알고 있다면 얼마나 무서울까? 그래서인지, 이번 워터링홀 공격에서는 액티브X가 더 무서운 존재일지도 모르겠다.

이 기사가 좋으셨다면

오늘의 핫 클릭

실시간 뜨거운 관심을 받고 있는 뉴스

이 기사에 대한 의견을 남겨주세요.

수신료 수신료