올 7월까지의 웹 공격 건수가 지난해 하반기 집계된 웹 공격 발생건수에 비해 3배 이상 증가했다. 특히 이 같은 웹 공격 활동의 약 3분의 2가 웹 공격용 툴 킷에 의한 것으로 분석돼 웹 공격용 툴킷 차단이 시급한 것으로 나타났다.
시만텍이 `시만텍 인텔리전스 리포트(Symantec Intelligence Report)` 7월호를 통해 22일 2012년 상반기 웹 공격용 툴킷(Web Attack Toolkits) 동향을 분석, 발표했다.
◇ 일반인들도 공격용 툴킷으로 쉽게 공격 가능 = 공격용 툴킷은 네트워크로 연결된 컴퓨터를 공격하기 위해 사용되는 악성 프로그램 개발 툴을 말한다. 대다수 악성 코드와 마찬가지로 보통 민감한 정보를 빼내거나 사용자 컴퓨터를 봇에 감염시켜 좀비PC로 만든 후 추가 공격을 감행하기 위해 사용된다.
특히 사이버 범죄에 대한 전문지식이 부족한 기존의 범죄자들도 손쉽게 웹 공격용 툴킷을 구할 수 있고, 사용법이 간편할 뿐만 아니라 범죄에 이용할 경우 수익성 또한 높기 때문에 다양한 사이버 범죄에 악용된다.
지난 5월 발표된 시만텍 `인터넷 보안 위협 보고서 제17호`에 따르면 2011년 발생한 악성 웹사이트 기반 위협 활동의 약 3분의 2가 웹 공격용 툴킷에 의한 것이었다. 실제 2011년 하반기 시만텍 센서가 수집한 하루 평균 툴킷 공격 건수와 2012년 상반기 수치를 비교한 결과 매일 발생하는 툴킷 공격 건수가 명백한 증가세를 보였다. 2012년 7월 수집한 데이터를 기준으로 현재 웹 공격 발생 건수는 2011년 하반기에 비해 3배 이상 많다.
현재 다양한 공격용 툴킷이 지하경제를 통해 주로 거래되고 있는데, `블랙홀(Blackhole)`, `피닉스(Phoenix)`, `뉴클리어 팩(Nuclear Pack)`, `블리딩 라이프(Bleeding Life)`, `엘리노어(Eleonore)` 등이 대표적이다.
◇ 업그레이드되지 않은 시스템 노려·패치 적용 시급 = 공격용 툴킷은 주로 어도비 리더, 어도비 플래시 플레이어, 자바 등 써드파티 브라우저 플러그인의 취약점을 이용하는데 초점을 맞춘다. 이러한 공격용 툴킷에 이용되는 취약점들은 대부분 보안 업데이트가 배포되어 있지만 이를 적용하지 않은 시스템이 많기 때문에 지속적으로 공격에 이용되고 있다. 즉, 공격용 툴킷은 일반적으로 구 버전의 소프트웨어를 기반으로 공격하며, 필요할 때만 신규 취약점을 이용한다.
또 사회공학적인 방법을 이용, 허위메일을 발송해 악성코드가 숨겨진 웹 사이트를 클릭, 악성코드를 내려받게도 하기 때문에 사용자들의 주의가 필요하다.
윤광택 시만텍코리아 이사는 “과거 해커들은 무에서 유를 창조하듯 사이버 공격 기법을 스스로 개발해야 했지만 오늘날의 공격용 툴킷은 프로그래밍 지식이 없는 초보자들조차 손쉽게 사이버 공격을 감행할 수 있도록 해준다”며, “소중한 디지털 자산을 지켜내기 위한 기업과 사용자들의 보안 인식 강화가 그 어느 때보다 절실하다”고 강조했다.
장윤정기자 linda@etnews.com
