2016년 6월 29일(수)

유럽의 엔드포인트 보안 전문 업체인 ESET(이셋)의 국내 법인인 (주)이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는 악성 스크립트를 이용한 랜섬웨어 등의 악성코드 감염에 주의를 요한다고 전했다.

사용자가 매일 직면해야 하는 위협을 논할 때, 대부분 이메일의 첨부되어 유입되는 악성코드 등 어느 정도 예측이 가능한 것들에만 관심을 둔다. 이러한 종류의 위협은 여전히 자주 사용되고 있지만, 공격자는 다수의 다른 공격 방법들을 함께 사용하고 있다. 이 중 가장 위험한 감염 방법 중 하나는 악성 스크립트를 이용하는 것인데, 사용자가 스스로 감염을 감지하기가 매우 어렵기 때문이다.

악성 스크립트란 보안이 취약한 합법적인 웹 사이트에 숨기는 것이 가능한 코드의 조각을 말하는데, 대부분의 사용자들이 이러한 사이트를 신뢰할 수 있는 사이트로 생각하고 사이트 접속시 별다른 의심을 하지 않기 때문에 악성코드 감염을 위한 완벽한 미끼로서 동작하게 된다. 일단 악성 스크립트가 실행되면 시스템 자체의 취약점, 브라우저의 취약점 및 기타 애플리케이션의 취약점을 이용하여 랜섬웨어나 기타 악성코드를 추가적으로 다운로드하고 이를 실행시킬 수 있다.

최근 공격자들은 이러한 감염 프로세스를 위해 널리 알려진 자동화된 익스플로잇 키트를 자주 사용하는데, 방법은 다음과 같이 비교적 간단하다. 합법적인 웹 사이트의 보안 취약점을 이용하여 익스플로잇 키트를 직접 설치하거나, 별도로 제작된 악성 웹 사이트로 자동 리디렉션 되도록 한다. 이 후 해당 웹 사이트를 방문하는 모든 사용자 시스템의 취약점을 탐지하고, 취약점이 발견되면 자동으로 공격이 수행된다. 이러한 행위는 맬버타이징(malvertising)이라 불리는 악성코드가 포함된 웹 사이트 광고에서 확인할 수 있으며, 이러한 광고를 클릭하는 것은 공격자에게 자신의 장치와 공격을 제어할 수 있는 권한을 갖도록 허용하는 것이라 볼 수 있으며, 클리앙과 뽐뿌를 통한 랜섬웨어 감염 사례가 여기에 해당한다.

통상적으로, 난독화된 자바 스크립트 코드는 추가 악성 코드를 다운로드하고 실행하는 등의 페이로드라고 부르는 동작을 수행하도록 제작되어 있으며, 대부분의 랜섬웨어 공격에 널리 사용되고 있다. 이러한 모든 동작은 대부분의 사용자들이 감지하지 못하기 때문에 웹 서핑시에는 많은 주의가 필요하다. 악성 스크립트 코드가 사용자 허가 없이 자동으로 실행될 수 있는 이유는, 해당 코드가 시스템 관리자 권한으로 동작하기 때문인데, 이는 윈도우 시스템을 일상적인 사용 환경에서는 전혀 불필요한 관리자 권한으로 사용하는 사용자가 여전히 압도적으로 많다는 문제에서 출발한다. 아울러, 윈도우 시스템 자체에서 제공하는 UAC등의 보안 기능을 사용하지 않음으로써 많은 시스템들에서 어떠한 방해도 받지 않고 악성 스크립트의 자동 실행이 가능하다.

(주)이셋코리아의 김남욱 대표는 "악성 스크립트에 의한 랜섬웨어 공격을 예방하기 위해서는, 우선 인터넷에서 100% 안전한 웹 사이트는 존재하지 않는다는 것을 기억해야 하며, 동시에 자신을 스스로 보호하기 위한 조치를 취할 필요가 있습니다. 운영체제 및 브라우저, 플래시 플레이어와 자바 등 악성코드 공격에 자주 이용되는 취약한 애플리케이션의 최신 업데이트 적용이 매우 중요하며, 중요한 데이터를 보유하고 있는 기업 환경 등에서는 윈도우의 보안 수준을 높이고 보안 솔루션을 적절히 사용함과 동시에, 악성 스크립트 등의 유입이나 실행을 감지할 수 있는 추가적인 보안 조치가 필요할 수 있습니다."면서, "경우에 따라서는, 약간의 불편을 감수하더라도 스크립트에 의한 파일 다운로드나 파일 실행 등의 행위를 아예 차단시키거나 사용자의 동의를 받도록 하는 등의 보다 적극적인 방어 조치가 필요할 수도 있는데, ESET 등 현재 사용 중인 보안 솔루션에서 이러한 조치를 적용할 수 있습니다. 이는 자바 스크립트 뿐만 아니라 파워 쉘을 사용하는 사용자들에게도 매우 중요합니다."고 전했다.