랜섬웨어를 뿌리는 데 널리 쓰이는 새로운 취약점 공격도구 ‘리그키트(RIG Exploit Kit)’가 국내에 등장했다.
28일 보안업계는 최근 리그키트를 이용해 국내에 랜섬웨어를 배포하는 활동이 감지되면서 비상대응에 들어갔다. 공격자는 재빨리 랜섬웨어 대신 국내 인터넷 뱅킹 정보를 노리는 파밍 악성코드로 전환하는 등 다양한 공격을 시도 중이다. 초기 영문 랜섬웨어를 배포했던 공격자가 언제 다시 한글화한 랜섬웨어를 대규모로 감염시킬지 예측할 수 없는 상황이다. 랜섬웨어는 PC 파일을 암호화한 후 이를 풀어주는 대가로 돈을 요구한다.
업계는 새로운 취약점 공격 도구인 리그키트 등장에 주목한다. 그동안 국내에서 사용된 보안취약점 공격 방식은 형태가 상대적으로 단순하고 추적이 용이한 중국산이 대부분이었다. 러시아에서 개발한 것으로 알려진 리그키트는 분석이 어렵고 특정 상황에서만 작동해 대응이 어렵다. 주로 중국산 공격도구가 쓰이던 국내 인터넷에 러시아와 유럽산까지 가세하며 더욱 복잡한 공격이 감행되는 셈이다.
과거에는 A사이트가 악성코드 유포에 이용되고 있다고 탐지되면 바로 차단하면 됐다. 하지만 리그키트 이용 공격은 해커가 설정한 특수한 상황에서만 작동한다. A사이트에 바로 URL을 입력해 접속할 때는 악성코드가 유포되지 않는다. A사이트를 특정 포털에서 검색해 들어간 때에만 악성코드가 나타는 식이다.
이번에 발견된 리그키트는 PC의 특정 경로에 파일이 존재하는지 확인하며 마이크로소프트 실버라이트와 자바, 플래시 취약점을 이용해 악성코드를 유포한다.
최상명 하우리 차세대보안연구센터장은 “리그키트 등장은 국내 악성코드 유포 패러다임이 변화한 것으로 볼 수 있다”며 “랜섬웨어를 비롯해 다양한 악성코드를 탐지하기 어렵게 퍼뜨리고 있어 긴장하고 있다”고 말했다.
문일준 빛스캔 대표는 “국내 관계 기관과 기업이 그동안 많이 쓰인 공다팩(Gongda Exploit Kit)이나 레드키트(Red Exploit Kit)에 빠르게 대처하자 공격자가 새로운 기법을 시도했다”며 “감염되면 피해가 바로 발생하는 랜섬웨어가 확산할 수 있어 주의가 요구된다”고 설명했다.
또 다른 보안업체 관계자는 “중국에 거점을 둔 이 조직은 2011년부터 지속적으로 국내 인터넷 뱅킹을 노린 파밍 공격 악성코드를 유포했다”며 “러시아 기술까지 사들여 공격할 정도로 거대한 조직이나 기업 형태로 발전한 것으로 보인다”고 분석했다.
김인순기자 insoon@etnews.com
