중국이 진원지로 추정되는 이들 조직은 2011년부터 최근까지 지속적으로 국내 인터넷 뱅킹을 위한 파밍 공격용 악성코드를 유포해 왔었다.
국내 사용자를 공격하는 이 조직은 대표적인 웹 악성코드 유포방식인 드라이브 바이 다운로드(Drive by Download) 형태로 공다팩(Gongda Exploit Kit), 레드킷(Red Exploit Kit), 씨케이 브이아이피 킷(CK VIP Exploit Kit) 등을 사용해 악성코드를 유포해왔으며, 현재는 씨케이 브이아이피 킷을 이용해 악성코드를 유포하는 추세이다.
이 센터는 익스플로잇 킷 외에도 리그킷(RIG Exploit Kit)을 사용해 파밍(Pharming)과 원격제어(Remote Access Tool) 악성코드가 유포되고 있는 것을 발견했다.
이번에 발견된 ‘리그킷’은 해외에서 많이 사용하는 익스플로잇 킷으로 PC의 특정 경로에 파일이 존재하는지를 확인하고, 실버라이트와 자바, 플래쉬 취약점을 이용해 악성코드를 유포하는 형태이다.
기존에 사용하던 익스플로잇 킷은 난독화된 코드의 복호화 과정이 자바스크립트(JavaScript)로 되어 있어 비교적 쉽게 코드 분석이 가능했으나, 리그킷은 그 과정이 PHP로 되어 있어 코드 분석이 어렵고, 공격자가 지정한 특정 값(PHPSSESID)을 다른 페이지에서 확인한 후 최종 악성코드를 유포하는 것이 특징이다.
〈사진설명〉RIG Exploit Kit 코드
위 빨간색 네모 박스는 사용자 PC에 특정 백신 제품이 존재하는지 확인하는 코드이고, 노란색 네모 박스는 난독화된 익스플로잇 코드 영역이다.
리그킷을 사용해 악성코드를 유포한 것은 이번이 처음 발견된 점에서 주목된다. 사용자가 접근한 이전 페이지(네이버, 구글, 다음)를 확인해 악성코드를 감염시키는 등 악성코드 유포 방식이 지능화되고 있는 것으로 추정된다.
〈사진설명〉이전 페이지 확인
순천향대 SCH사이버보안연구센터 염흥열 센터장은 “국내를 위협하는 이 조직이 리그킷을 악성코드 유포에 사용한 것은 처
음이다”라며 “해당 조직이 악성코드 탐지를 우회하기 위한 새로운 도구를 이용해 유포방식이 진화하고 있는 추세에 대한 대응 기법 개발이 요구되며, 사용자들은 최신 버전으로 업데이트로 악성코드 피해를 최소화해야 한다”라고 말했다.