특정회사 타깃한 `표적공격` 늘었다

글자 작게 글자 크게 인쇄하기
특정회사를 대상으로 메일을 보낸 후 마이크로소프트 오피스의 워드 취약점(CVE-2010-3333)을 이용해 악성코드를 설치하려는 공격용 메일.
<특정회사를 대상으로 메일을 보낸 후 마이크로소프트 오피스의 워드 취약점(CVE-2010-3333)을 이용해 악성코드를 설치하려는 공격용 메일.>

최근 사이버 공격 피해가 급증하는 가운데, 돈 되는 고객정보·계좌정보 등을 보유 중인 금융사나 고가 아이템 등을 거래하는 게임사 등 특정 사업자를 겨냥한 ‘표적 공격’이 늘고 있다.

 2일 관련 업계에 따르면 금융권, 게임업체 등 특정회사의 데이터를 훔쳐가는 악성코드들이 빈번히 발견되고 있다. 이스트소프트(대표 김장중)는 3월 한 달 동안 특정회사를 목표로 한 공격 사례가 15건 이상 수집됐다고 이날 밝혔다. 정확한 통계를 밝힐 수는 없지만 안철수연구소, 하우리 등 보안전문회사도 올해 들어 특정회사를 타깃으로 한 공격이 눈에 띄게 늘었다고 전했다.

 김준섭 이스트소프트 알약개발부문장은 “최근 악성코드 경향이 국지적으로 변하고 있다”며 “최근 3월에만 이와 유사한 종류의 샘플이 15개 수집됐지만 이런 공격은 특정 기업이나 단체를 타깃으로 이뤄지기 때문에, 고객 신고가 없으면 파악하기가 힘들어 실제로는 더 많은 수일 것”이라고 말했다.

 악성코드의 흐름이 불특정 다수를 대상으로 하던 과거와 달리 공격대상이 특정회사, 기관 등으로 국지화돼 가고 있다는 분석이다. 특히 현금이 오가는 금융권이 의외로 보안에 취약하다는 현실이 알려지면서 금융권을 대상으로 한 공격도 최근 크게 늘고 있는 추세다.

 김 부문장은 “특정회사를 대상으로 메일 등을 보내 악성코드를 심은 뒤 키 입력 정보(아이디, 패스워드 등)를 저장해 가로채고 웹셸(web-shell)을 심어 데이터를 탈취해 가는 형태의 공격이 늘었다”며 “특히 MS 워드 취약점, 어도비 애크러뱃 취약점 등 사용자들이 패치를 소홀히 하는 문서 파일의 취약점을 이용해 악성코드를 전파하는 사례가 늘어 주의가 필요하다”고 설명했다.

 이스트소프트가 밝힌 사례에 따르면 지난 3월 모 회사에 협력사를 자칭한 메일이 수시로 날아들었다. 이 회사 직원 다수는 ‘부탁하신 미국 전화번호입니다’는 제목의 이메일을 협력업체로부터 받았는데 사내에는 관련 자료를 요청한 사람이 없었다.

 이 메일은 MS오피스 워드 취약점(CVE-2010-3333)을 이용해 악성코드를 설치한 후 입력되는 키보드 값을 가로채는 ‘키로거’를 심은 메일이었다. 키로깅된 데이터는 중국 베이징 등 중국 내 서버로 전송되고 있었다. 다행히 백신에서 이 사실을 빨리 눈치채 키로깅을 막았지만 만약 서버 관리자 등 주요 데이터를 취급하는 직원의 PC가 키로깅됐다면 큰 피해로 이어질 뻔했다.

 김장중 이스트소프트 사장은 “회사 직원들이 보안의 기본 수칙만 잘 지켜도 이 같은 표적 공격은 대부분 막을 수 있다”며 “최신 보안업데이트 유지, 백신 사용, 암호 주기적 변경, 의심되는 메일의 첨부파일 열지 말기 등 사용수칙은 물론이고 방화벽 80, 44포트 등 반드시 열린 포트로 드나드는 패킷을 체크하고 외부망을 내부망과 가급적 분리하는 등 보안 관제, 보안 정책 관리에 주의를 기울여야 한다”고 말했다.

 한편 시만텍, 웹센스, 메시지랩, 트렌드마이크로 등 글로벌 보안회사는 올해 특정회사, 단체, 국가 등을 대상으로 한 표적 공격이 급격히 늘어날 것이라 전망한 바 있어 표적 공격의 대비책 마련이 시급하다고 관련 전문가들은 경고하고 있다.

장윤정기자 linda@etnews.co.kr

첨부파일을 실행하면 아래와 같은 내용이 뜨지만 워드 취약점으로 인해서 백그라운드로 악성코드 파일이 자동으로 설치된다.
<첨부파일을 실행하면 아래와 같은 내용이 뜨지만 워드 취약점으로 인해서 백그라운드로 악성코드 파일이 자동으로 설치된다.>
키로깅된 데이터는 중국 베이징, 연진 등에 위치한 서버로 전송되고 있었다
<키로깅된 데이터는 중국 베이징, 연진 등에 위치한 서버로 전송되고 있었다>