해커들에게 가성비 높은 사이버 공격, 관리자·임직원 등을 타깃으로 노린다
항상 접속하는 웹사이트 방문만 해도 감염...빠른 피해 확산 가능해
신규 버전 패치·업그레이드로 구버전 취약점 해결하는 것이 효과적인 예방책
[보안뉴스 이소미 기자] 해커들이 가장 노리는 건 바로 ‘돈’ 또는 수익으로 이어질 수 있는 ‘정보’다. 이들도 공격 시 가성비를 따진다. 들이는 시간과 노력, 그리고 비용 대비 더 많은 이윤을 남기는 방법을 찾는다. 따라서 공격자들은 큰 수익으로 이어질 수 있는 ‘타깃’ 선정을 핵심으로 삼는다. 예를 들면, 사내 공격 시 핵심이 되는 관리자 계정이나 많은 정보를 빼낼 수 있는 부서 관계자가 될 수 있다. 이에 <보안뉴스>는 실제로 회사 내에서 인터넷을 이용하는 임직원들 대상으로 검사했을 때 가장 많이 발견되는 공격인 ‘워터링홀’에 대해 살펴봤다.
[이미지=gettyimagesbank]
△이 주의 보안 용어
워터링홀(Watering Hole)
‘워터링홀(Watering Hole) 공격’은 해커가 정해둔 타깃이 걸릴 때까지 기다리는 사이버 상의 덫(Trab)을 의미한다. 이는 마치 사자가 사냥을 위해 물웅덩이(Watering Hole) 근처에 매복하고 있다가 먹잇감이 물에 빠지면 공격하는 형상을 빗댄 것으로 웹 기반의 특정 IP 접속자를 대상으로 하는 표적 공격이다. 공격자는 타깃 대상이 자주 접속하는 웹사이트를 해킹해 악성코드를 심어 컴퓨터나 네트워크를 감염시킨다. 해킹은 통상 ‘제로데이’로 불리는 ‘구버전 취약점’을 악용해 이뤄진다. 이러한 수법은 흔히 산업스파이 활동 등을 목적으로 특정 기밀 정보 탈취를 위해 악용되는 방식이다. 따라서 개인보다는 주로 특정 기업·조직을 대상으로 이뤄진다.
이 공격은 특정된 타깃이 공격에 걸려들기 전까지는 특별한 이상징후가 드러나지 않아 공격 방식이 잘 드러나지 않는다. 또한, 사용자 입장에서 항상 다니던 웹사이트이기 때문에 무방비하게 당할 수 있다는 게 약점이다. 다시 말해 한 웹사이트에 여럿이 방문하더라도 표적이 된 대상자만 악성코드에 감염돼 해킹 및 정보 유출 피해를 입는 것이다. 워터링홀 공격은 단순 접속만으로도 감염될 만큼 전염성이 높아 사실상 사전에 방어하기가 쉽지만은 않다.
△이런 일이 있었다
최근 워터링홀 공격은 산업스파이 활동 목적 외에도 상대적으로 보안 위협에 취약한 중소기업들이 많이 당하고 있는 추세다. 대기업의 경우 보안 솔루션 도입 등이 활발해 해커들이 공격하는 데 어려움이 있는 반면, 중소기업은 상대적으로 취약하기 때문이다.
하지만 보안 솔루션을 도입했다고 해서 무작정 안심할 수는 없는 노릇이다. 지난 8월 한국인터넷진흥원(이하 KISA)이 발표한 ‘2023년 상반기 사이버 공격 추세’ 보고서에 따르면, 북한 해킹 그룹이 사용자들의 방문이 잦은 언론사 홈페이지 등을 타깃으로 정해 보안 소프트웨어의 제로데이 취약점을 악용한 워터링홀 공격이 꾸준히 이어지고 있다고 밝혔다.
특히, 전 세계를 종횡무진하며 사이버 공격을 벌여온 ‘라자루스’ 그룹 역시 해당 수법으로 보안 솔루션 개발업체의 소스코드를 탈취해 취약점 코드를 개발한 정황이 드러나기도 했다. 이들은 성공적인 워터링홀 공격을 위해 언론사 사이트 및 명령제어지 구축용으로 호스팅 업체를 악용하는 등 국내 인프라를 통해 공격 범위를 지속적으로 넓혀나가는 활동을 벌이고 있는 것으로 나타났다.
과거 페이스북·트위터 등의 SNS 플랫폼이 해킹으로 인해 악성코드 배포지로 전락한 사건을 워터링 홀로 규정하고 향후 이러한 공격이 더욱 증가할 것으로 내다봤는데 점점 현실이 되어가고 있다.
△피해는 이렇게 막을 수 있다
사실상 워터링홀 공격은 타깃의 일상적인 인터넷 이용 패턴을 예상해 공격을 수행하기 때문에 사용 자체를 금지하는 방식은 통하지 않는다. 게다가 공격자는 해당 웹사이트에서 자동으로 돌연변이 악성코드를 생성해 매번 기존 유형과는 다른 형태의 공격기법을 이용하므로 방어가 어렵다는 게 특징이다. 다만, 사이버 공격 예방법 중 가장 기본적이면서도 단순한 ‘패치 및 버전 업그레이드’를 통해 어느 정도는 예방할 수 있다.
그러므로 스마트폰·PC 사용 시 버전 및 패치 업데이트가 필요하다는 알림이 뜨면 즉시 설치를 진행해야 한다. 여기에 이중인증 옵션을 추가한다면 더 큰 피해를 최소화할 수 있다.
한편, 과학기술정보통신부와 KISA는 유관기관들과 협력해 면밀한 공격 탐지·차단 및 소프트웨어 개발사와 신속한 보안패치 배포 등 피해 확산 방지에 적극 대응하고 있으며, 보안역량이 취약한 기업들을 위해 △누리집(홈페이지) △시스템 등의 보안 취약점 점검 △실전형 모의침투 훈련 지원뿐만 아니라, 모든 국민들을 대상으로 모바일·PC의 자가 보안 점검 서비스 등을 제공하고 있다.
[이소미 기자(boan4@boannews.com)]
항상 접속하는 웹사이트 방문만 해도 감염...빠른 피해 확산 가능해
신규 버전 패치·업그레이드로 구버전 취약점 해결하는 것이 효과적인 예방책
[보안뉴스 이소미 기자] 해커들이 가장 노리는 건 바로 ‘돈’ 또는 수익으로 이어질 수 있는 ‘정보’다. 이들도 공격 시 가성비를 따진다. 들이는 시간과 노력, 그리고 비용 대비 더 많은 이윤을 남기는 방법을 찾는다. 따라서 공격자들은 큰 수익으로 이어질 수 있는 ‘타깃’ 선정을 핵심으로 삼는다. 예를 들면, 사내 공격 시 핵심이 되는 관리자 계정이나 많은 정보를 빼낼 수 있는 부서 관계자가 될 수 있다. 이에 <보안뉴스>는 실제로 회사 내에서 인터넷을 이용하는 임직원들 대상으로 검사했을 때 가장 많이 발견되는 공격인 ‘워터링홀’에 대해 살펴봤다.
[이미지=gettyimagesbank]
△이 주의 보안 용어
워터링홀(Watering Hole)
‘워터링홀(Watering Hole) 공격’은 해커가 정해둔 타깃이 걸릴 때까지 기다리는 사이버 상의 덫(Trab)을 의미한다. 이는 마치 사자가 사냥을 위해 물웅덩이(Watering Hole) 근처에 매복하고 있다가 먹잇감이 물에 빠지면 공격하는 형상을 빗댄 것으로 웹 기반의 특정 IP 접속자를 대상으로 하는 표적 공격이다. 공격자는 타깃 대상이 자주 접속하는 웹사이트를 해킹해 악성코드를 심어 컴퓨터나 네트워크를 감염시킨다. 해킹은 통상 ‘제로데이’로 불리는 ‘구버전 취약점’을 악용해 이뤄진다. 이러한 수법은 흔히 산업스파이 활동 등을 목적으로 특정 기밀 정보 탈취를 위해 악용되는 방식이다. 따라서 개인보다는 주로 특정 기업·조직을 대상으로 이뤄진다.
이 공격은 특정된 타깃이 공격에 걸려들기 전까지는 특별한 이상징후가 드러나지 않아 공격 방식이 잘 드러나지 않는다. 또한, 사용자 입장에서 항상 다니던 웹사이트이기 때문에 무방비하게 당할 수 있다는 게 약점이다. 다시 말해 한 웹사이트에 여럿이 방문하더라도 표적이 된 대상자만 악성코드에 감염돼 해킹 및 정보 유출 피해를 입는 것이다. 워터링홀 공격은 단순 접속만으로도 감염될 만큼 전염성이 높아 사실상 사전에 방어하기가 쉽지만은 않다.
△이런 일이 있었다
최근 워터링홀 공격은 산업스파이 활동 목적 외에도 상대적으로 보안 위협에 취약한 중소기업들이 많이 당하고 있는 추세다. 대기업의 경우 보안 솔루션 도입 등이 활발해 해커들이 공격하는 데 어려움이 있는 반면, 중소기업은 상대적으로 취약하기 때문이다.
하지만 보안 솔루션을 도입했다고 해서 무작정 안심할 수는 없는 노릇이다. 지난 8월 한국인터넷진흥원(이하 KISA)이 발표한 ‘2023년 상반기 사이버 공격 추세’ 보고서에 따르면, 북한 해킹 그룹이 사용자들의 방문이 잦은 언론사 홈페이지 등을 타깃으로 정해 보안 소프트웨어의 제로데이 취약점을 악용한 워터링홀 공격이 꾸준히 이어지고 있다고 밝혔다.
특히, 전 세계를 종횡무진하며 사이버 공격을 벌여온 ‘라자루스’ 그룹 역시 해당 수법으로 보안 솔루션 개발업체의 소스코드를 탈취해 취약점 코드를 개발한 정황이 드러나기도 했다. 이들은 성공적인 워터링홀 공격을 위해 언론사 사이트 및 명령제어지 구축용으로 호스팅 업체를 악용하는 등 국내 인프라를 통해 공격 범위를 지속적으로 넓혀나가는 활동을 벌이고 있는 것으로 나타났다.
과거 페이스북·트위터 등의 SNS 플랫폼이 해킹으로 인해 악성코드 배포지로 전락한 사건을 워터링 홀로 규정하고 향후 이러한 공격이 더욱 증가할 것으로 내다봤는데 점점 현실이 되어가고 있다.
△피해는 이렇게 막을 수 있다
사실상 워터링홀 공격은 타깃의 일상적인 인터넷 이용 패턴을 예상해 공격을 수행하기 때문에 사용 자체를 금지하는 방식은 통하지 않는다. 게다가 공격자는 해당 웹사이트에서 자동으로 돌연변이 악성코드를 생성해 매번 기존 유형과는 다른 형태의 공격기법을 이용하므로 방어가 어렵다는 게 특징이다. 다만, 사이버 공격 예방법 중 가장 기본적이면서도 단순한 ‘패치 및 버전 업그레이드’를 통해 어느 정도는 예방할 수 있다.
그러므로 스마트폰·PC 사용 시 버전 및 패치 업데이트가 필요하다는 알림이 뜨면 즉시 설치를 진행해야 한다. 여기에 이중인증 옵션을 추가한다면 더 큰 피해를 최소화할 수 있다.
한편, 과학기술정보통신부와 KISA는 유관기관들과 협력해 면밀한 공격 탐지·차단 및 소프트웨어 개발사와 신속한 보안패치 배포 등 피해 확산 방지에 적극 대응하고 있으며, 보안역량이 취약한 기업들을 위해 △누리집(홈페이지) △시스템 등의 보안 취약점 점검 △실전형 모의침투 훈련 지원뿐만 아니라, 모든 국민들을 대상으로 모바일·PC의 자가 보안 점검 서비스 등을 제공하고 있다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
