최근 기업 웹사이트를 감염시켜 악성코드를 배포하는 공격이 국내는 물론이고 전 세계적인 보안 화두로 떠올랐다. 올 2월 애플, 페이스북, 트위터 등이 해킹 공격에 당해 악성코드 배포지로 전락한 사건이 여기에 해당된다. 시만텍 등 글로벌 보안업체들은 이를 `워터링홀` 공격으로 규정하고 향후 이 같은 형태의 공격이 더욱 증가할 것으로 내다봤다.
워터링홀 공격이란 알려지지 않은 취약점을 활용해 사용자를 노리는 공격 기법으로 `제로데이`, `멀웨어` 등의 악성코드를 특정 웹사이트에 심어두고, 여기에 접속하면 악성코드가 사용자의 PC로 배포되는 형태의 해킹을 말한다.
특히 해커들은 공격 타깃인 대기업과 거래 관계가 있는 중소기업 웹사이트에 악성코드를 심어 대기업이 접속할 때를 기다리는 수법을 주로 사용하는 것으로 알려졌다. 상대적으로 보안이 허술한 중소기업 사이트를 미끼로 활용하는 셈이다. 워터링홀이라는 이름은 사자가 먹이를 잡기 위해 물웅덩이(Watering Hole) 근처에 매복하고 있다가 먹잇감이 물에 빠지면 공격하는 모습에서 유래됐다.
방식은 유사하지만 특정타깃을 대상으로 악성코드를 배포한다는 점에서 `드라이브 바이 다운로드(DBD)` 공격과 구분된다. 워터링홀 공격은 추가 공격을 위한 `백도어`를 설치한다. 해커들은 백도어를 통해 데이터를 유출하거나 파괴할 수도 있어 추가 피해를 당해도 손놓고 당하는 경우가 부지기수다.
정미나기자 mina@etnews.com
