2024년 2분기 침해사고 유형 분석했더니... 악성 웹사이트 유도 공격 급증

2024-08-03 23:37
  • 카카오톡
  • 네이버 블로그
  • url
한국인터넷진흥원, ‘2024년 2분기 침해사고 통계’ 발표
악성 웹사이트 유도 침해사고 급증...5월 최고치 기록
파일 업로드 보안 강화, 로그 모니터링 및 분석 강화, 보안교육, KISA 정보보호 서비스 활용 필요


[보안뉴스 김경애 기자] 최근 몇 달 동안 악성 웹사이트 유도 침해사고가 급격히 증가했다. 3월부터 급증했고, 5월에는 최고치를 기록했다. 2분기에 신고된 악성 웹사이트 유도 공격은 거의 발견되지 않았던 1분기 대비 5.40% 증가했다. 특히 트로이목마를 통해 C&C 서버와 주기적으로 통신을 시도해 공격자의 명령을 실행하고, 기기 정보 및 백신 정보 등을 전송해 방어를 회피하는 특성을 보이고 있다. 따라서 기업과 기관, 이용자들의 각별한 주의가 요구된다.


▲2024년 2분기 침해사고 유형[자료=한국인터넷진흥원]

악성 웹사이트 유도 침해사고
한국인터넷진흥원이 발표한 ‘2024년 2분기 침해사고 통계’에 따르면 2024년 2분기 가장 많았던 사고 유형은 해킹 경유지(24.78%) 악용이다. 이어 랜섬웨어, 웹 취약점, 피싱 순으로 집계됐다. 그러나 전반적으로는 웹 취약점과 악성 웹사이트 유도 공격의 증가가 두드러졌다.


▲악성 웹사이트 유도 공격 순서[자료=한국인터넷진흥원]

악성 웹사이트 유도는 사용자가 정상 웹사이트 접속 시 악성코드 감염 또는 DNS 설정 변경을 통해 악성 웹사이트로 접속시켜 불법 광고를 노출하는 사이버 공격 유형이다. 공격자는 최초 침투로 파일 업로드 취약점을 통해 악성 파일을 업로드한다. 이후 지속 단계로 악성 파일을 통해 추가 공격을 수행, 공격에 필요한 악성 파일을 추가로 업로드한다. 그런 다음 공격자는 자신의 계정을 생성한다. 실행 단계에서는 악성 DLL을 삽입하고, 방어 회피를 위해 이벤트 로그를 삭제한다.

악성 웹사이트 유도와 파밍의 유사성과 차이점
악성 웹사이트 강제 이동과 파밍의 유사성은 두 공격 모두 사용자의 정상 웹사이트 접속 시도를 가로채 악성 웹사이트로 유도한다는 점이다. 악성코드를 삽입하거나 DNS 설정을 변경해 악성 웹사이트로 리다이렉션함으로써 악성 웹사이트에 접속하게 한다.

차이점은 공격의 목적과 세부 방식에 있다. 악성 웹사이트 유도는 주로 불법 광고 수익을 얻거나 악성 소프트웨어 설치 유도가 목적이며, 광고 웹사이트로 리다이렉션된다. 반면, 파밍(Pharming)은 개인정보, 로그인 정보, 금융정보 등의 탈취가 주된 목적이다. 파밍은 사용자의 중요한 정보를 빼내기 위해 가짜 금융 사이트나 로그인 페이지로 유도한다. 반면 악성 웹사이트 유도는 주로 광고 페이지나 악성 소프트웨어 다운로드 페이지로 유도한다.


▲공격 방식의 변화[자료=한국인터넷진흥원]

무단 광고 삽입 공격 방식
이러한 공격은 사용자가 모르는 사이에 발생해 피해자가 인지하기 어렵고 은밀하게 진행된다. 최근 악성 웹사이트 유도 공격은 △호스팅 관리자 계정 탈취 후 DNS 설정 변경 △스케줄러 기능을 통한 악성 스크립트 삽입 △DLL Side-Loading 공격 방식을 통한 악성 스크립트 삽입과 같은 방식으로 진행된다.

1. 호스팅 관리자 계정 탈취 후 DNS 설정 변경
첫째, 호스팅 관리자 계정을 탈취해 DNS 설정을 변경하는 방식이다. 이는 공격자가 탈취한 계정을 이용해 DNS 설정을 변경하고, 피싱 웹사이트로 트래픽을 리다이렉션하는 것이다. 이를 통해 웹사이트 방문자들이 원치 않는 피싱 웹사이트에 접속하게 된다.

2. 스케줄러 기능을 통한 악성 스크립트 삽입
둘째, 스케줄러 기능을 통한 악성 스크립트 삽입 방식이다. 이는 공격자가 파일 업로드 취약점을 이용해 악성 파일을 서버에 업로드한 후, 서버의 스케줄러 기능을 활용해 정해진 시간에 악성 스크립트를 실행하는 공격 방식이다.

3. DLL Side-Loading 공격 방식을 통한 악성 스크립트 삽입
셋째, DLL Side-Loading 공격 방식을 통한 악성 스크립트 삽입 방식이다. 이는 공격자가 파일 업로드 취약점을 통해 악성 DLL 파일을 서버에 업로드 하면, 정상 프로그램 실행 시 해당 프로그램이 악성 DLL을 로드하게 해 악성 스크립트를 실행하는 것이다.

대응방안
이를 위한 대응방안은 △파일 업로드 보안 강화 △서버 보안 강화 △로그 모니터링 및 분석 강화 △보안 교육 및 인식 제고 △한국인터넷진흥원 정보보호 서비스 활용을 통해 보안을 강화할 수 있다.

1. 파일 업로드 보안 강화
파일 업로드 보안을 강화하기 위해서는 △파일 확장자 검증 △파일 저장 경로 검증 △입력값 검증 △접근 제어 강화를 통해 보안을 강화할 수 있다.

파일 확장자 검증 : 허용된 파일 확장자만 업로드 가능하도록 설정해 악성 파일 업로드를 방지한다. 예를 들어, 이미지 파일(`jpg`, `jpeg`, `png`, `gif`)만 허용한다.

파일 저장 경로 검증 : 사용자 입력값을 통한 경로 조작을 방지하고, 미리 정의된 안전한 경로에 파일을 저장한다.

입력값 검증 : 파일명 및 경로 입력값을 철저히 검증하여 디렉터리 트래버설 등의 공격을 방지한다.

접근 제어 강화 : 파일 업로드 페이지에 대한 접근 제어를 강화해, 인증된 사용자만 접근할 수 있도록 한다.

2. 서버 보안 강화
최신 보안 패치 적용 : 운영체제와 모든 서드파티 소프트웨어의 최신 보안 패치를 즉시 적용해 알려진 취약점을 해결한다.

사용자 권한 관리 : 최소 권한 원칙을 적용하고, 불필요한 관리자 권한 계정을 생성하지 않도록 하며, 주기적인 권한 검토를 통해 불필요한 권한을 제거한다.

관리자 계정 보호 : 강력한 비밀번호 정책, 이중 인증(MFA), 로그인 시도 제한 등을 통해 관리자 계정을 보호한다.

원격 접속 보안 : VPN 사용, SSH 키 인증, RDP 접속 제한 등을 통해 원격 접속의 보안을 강화한다.

3. 로그 모니터링 및 분석 강화
감사 정책 및 고급 감사 정책 설정 : 로그온 이벤트, 계정 로그인 이벤트 등 주요 이벤트를 모니터링하도록 감사 정책을 설정한다.

이벤트 뷰어 설정 : 특정 이벤트 ID를 모니터링하고, 사용자 지정 보기를 통해 중요한 이벤트를 추적한다.

이벤트 알림 설정 : 태스크 스케줄러를 통해 특정 이벤트 발생 시 이메일 알림을 설정해 신속한 대응이 가능하도록 한다.

로그 보존 정책 설정 : 로그의 크기와 보존 기간을 적절히 설정해 필요한 로그가 유실되지 않도록 한다.

4. 보안 교육 및 인식 제고
보안 교육 실시 : 정기적인 보안 교육을 통해 임직원의 보안 인식을 제고하고, 최신 보안 위협에 대한 대응 방법을 숙지시킨다.

보안 인식 캠페인 : 다양한 보안 인식 캠페인을 통해 전사적인 보안 문화 정착을 유도한다.

5. 한국인터넷진흥원 정보보호 서비스 활용
한국인터넷진흥원에서 지원하는 중소기업 보안 취약점 점검, 웹 취약점 점검 및 웹 보안 강화 도구(휘슬, 사이버 대피소)를 통해 보안을 강화할 수 있다. 또한 중소기업에서 침해사고가 발생하는 경우 한국인터넷진흥원에서 원인 분석 및 재발 방지를 위한 원인 제거, 예방 컨설팅, 보안 교육을 지원하고 있다.

한국인터넷진흥원은 “2024년 2분기 동안 악성 웹사이트 유도 공격이 급증했다”며 “이는 사용자의 개인정보와 시스템 보안에 심각한 위협을 초래하고 있어 각각의 공격에 대한 대응 방안을 마련하는 것이 중요하다”고 강조했다.

이어 “파일 업로드 보안 강화, 서버 보안 강화, 로그 모니터링 및 분석 강화, 보안 교육 및 인식 제고 등의 종합적인 보안 대책이 필요하다”며 “한국인터넷진흥원 등의 정보보호 서비스를 활용해 보안 취약점을 점검하고 대응책을 마련해 악성 웹사이트 유도 침해사고를 예방할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 이노뎁

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 인텔리빅스

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 다후아테크놀로지코리아

    • 경인씨엔에스

    • 지오멕스소프트

    • 성현시스템

    • 한국씨텍

    • 프로브디지털

    • 디비시스

    • 유니뷰코리아

    • 스피어AX

    • 투윈스컴

    • 세연테크

    • 트루엔

    • 위트콘

    • 유에치디프로

    • 주식회사 에스카

    • 포엠아이텍

    • 세렉스

    • 안랩

    • 제이슨

    • 에스지에이솔루션즈

    • 이롭

    • 샌즈랩

    • 쿼리시스템즈

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 에이티앤넷

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 태정이엔지

    • 네티마시스템

    • HGS KOREA

    • 에이앤티코리아

    • 미래시그널

    • 두레옵트로닉스

    • 지와이네트웍스

    • 넥스트림

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 동양유니텍

    • 모스타

    • 엔에스정보통신

    • 구네보코리아주식회사

    • 엘림광통신

    • 엔시드

    • 넥스텝

    • 메트로게이트
      시큐리티 게이트

    • 포커스에이치앤에스

    • 티에스아이솔루션

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기