‘술라’라는 이름의 캠페인, 한국의 웹사이트 네 곳 침해하는 데 성공
가짜 로그인 페이지 로딩해 정보 빼가...대형 포털 한 군데도 포함돼

[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)가 한국의 웹사이트 네 곳을 침해한 워터링 홀 캠페인을 발견했다. 공격자들은 이 웹사이트에 가짜 로그인 페이지를 삽입해 사용자들의 크리덴셜을 훔쳐내고 있는 중이라고 한다.

트렌드 마이크로는 이 캠페인을 술라(Soula)라고 부르며, 1) 기업들과 사용자들에 있어 커다란 위협이면서, 2) 동시에 보다 큰 규모의 공격을 위한 초기 작업일 가능성이 높다고 설명했다.

“저희가 발견한 4개의 웹사이트는 전부 자바스크립트가 삽입된 상태였습니다. 공격자들이 어떤 방법으로 자바스크립트 주입에 성공했는지는 정확히 알 수가 없습니다. 하지만 패치되지 않은 취약점을 악용했을 가능성이 높아 보입니다. 공격자들은 이 자바스크립트를 통해 정상적인 웹 페이지를 자신들의 것으로 덮어 씌웠습니다.”

트렌드 마이크로는 “술라가 남한 네티즌들에게 대단히 큰 위협인 건, 침해당한 사이트에 가장 인기가 높은 검색 엔진 중 하나가 포함되어 있기 때문”이라고 밝혔다. 그러나 그것이 네이버인지 다음인지는 정확히 명시하지 않고 있다.

공격자들은 가짜 로그인 페이지 화면에서 취득한 정보를 자신들의 서버에 따로 보관하고 있는 것으로 나타났다. 하지만 정보 분류가 제대로 되어 있지 않는 등 수집과 저장 방식의 여러 가지 면모를 보아 “아직은 정찰 단계 혹은 초기 단계에 있는 것으로 보인다”고 트렌드 마이크로는 설명한다. 따라서 이번 캠페인을 발판으로 더 큰 규모의 공격이 발생할 것으로 예상된다.

최초로 침해된 사이트가 발견된 건 3월 14일의 일이다. 여기에 주입된 악성 자바스크립트는 1) 방문자의 프로파일을 만들고, 2) 가짜 로그인 화면을 로딩한 후, 3) HTTP 참조자 헤더 문자열을 스캔해서 4) 여기에 인기 높은 검색 엔진이나 소셜 미디어 사이트와 관련이 있는 키워드가 포함되어 있는지 확인한다. 5) 이를 통해 방문자가 실제 사람인지 봇인지 확인한다.

그런 후에는 6) 방문자의 장비와 OS를 식별하고, 7) 배경에 남아서 해당 사용자를 기다린다. 8) 그리고 해당 사용자가 6번 방문할 때까지 아무런 일도 하지 않다가, 6번째 방문 때에 맞춰 스푸핑 된 로그인 양식을 로딩한다. 공격자들은 클라우드플레어(Cloudflare)도 사용해 자신들의 도메인을 보호하고 실제 IP 주소를 숨기기도 했다.

트렌드 마이크로는 공격자들이 중국인인 것으로 보고 있다. 코드에서 중국어가 나왔기 때문이다.

“공격자들은 계속해서 자신들의 악성 코드를 향상시키고 있습니다. 최근에는 난독화 기술도 추가했습니다. 저희는 클라우드플레어에 이 같은 상황을 알렸습니다. 이에 클라우드플레어가 조치를 취하자 공격자들은 새로운 서버로 스크립트를 옮기기도 했습니다.”

트렌드 마이크로는 “조직 내 아직 패치하지 않은 취약점이 있다면 서둘러 패치를 하고, 이중인증 옵션을 추가한다면 술라 캠페인에 대한 피해를 최소화할 수 있다”고 제안했다.

3줄 요약
1. 한국 대형 포털 한 군데 포함한 네 개 웹사이트에 악성 자바스크립트 있음.
2. 이 자바스크립트를 통해 가짜 로그인 페이지가 로딩되고, 사용자 정보 유출됨.
3. 패치하지 않은 취약점 패치하고, 이중인증 도입하면 피해 최소화.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>