[프라임경제] 파이어아이(지사장 전수홍)는 지난 해 초부터 확인되지 않은 공격 그룹이 웹 분석 오픈 소스 툴인 '위치코븐(WITCHCOVEN)'을 이용해 특정 타깃 인터넷 사용자의 컴퓨터 및 브라우저 정보를 추적, 수집한 정황을 포착했다.

파이어아이는 이러한 공격 그룹이 국가의 후원 받는 그룹 소행일 것이라고 추측했으며, 타깃에 대한 정보 수집 후 보다 정교한 공격 수단을 이용해 공격 성공률을 높일 수 있다는 점에서 위협적이라고 19일 전했다.

위치코븐을 이용한 타깃정보 수집과정. ⓒ 파이어아이

공격 그룹은 합법적인 홈페이지의 HTML 코드를 변형시켜 사용자가 해당 웹사이트에 방문하면 프로파일링 스트립트, 즉 '위치코븐' 스트립트가 호스팅되는 웹사이트로 리다이렉트 하는 워터링홀 수법을 이용했다. 파이어아이는 현재 감염된 웹사이트가 100개 이상인 것으로 추정하고 있다.

위치코븐은 사용자 모르게 백그라운드에서 실행돼 방문자의 컴퓨터 및 브라우저 정보를 파악한 뒤 지속적으로 사용자 정보를 트래킹하는 '슈퍼쿠키(Supercookie)'라는 웹툴을 사용자 컴퓨터에 심었다.

슈퍼쿠키는 사용자 컴퓨터 내 여러 개의 스토리지에 쿠키를 생성하고, 삭제된 쿠키를 재생성 해 지속성을 확보하는 오픈소스 웹툴이다. 파이어아이는 이달 초, 총 14개의 웹사이트가 위치코븐 스크립트를 호스팅하고 있는 것을 탐지했다.

공격 그룹은 프로파일링 활동을 통해 △IP주소 △브라우저 타입 및 버전 △브라우저 언어 설정 △사이트 방문 기록 등의 정보를 수집할 수 있다.

또한 이를 통해 특정 타깃에 최적화된 공격 수단을 선택할 수 있다. 예를 들어, 사용자가 구 버전의 SW를 사용하는 경우, 해당 SW의 취약점을 이용한 공격을 행하는 것이다.

실제로 중국 기반의 지능형 공격 그룹인 APT3의 경우 플래시 제로데이 취약점 공격 이전에 프로파일링 스크립트를 이용했으며 러시아 기반 그룹인 APT28도 역시 비슷한 정황이 발견된 바 있다.

또한, 감염된 웹사이트들은 일정한 패턴을 가지고 있어 무작위로 감염된 것이 아니라 공격 대상을 선택해 진행하는 것으로 추측된다.

파이어아이는 감염된 웹사이트를 분석한 결과 공격 그룹이 미국과 유럽에 있는 △기업인 △외교관 △정부 관료 △군 인사 △비자 서비스를 제공하는 회사와 미국의 특정 대사관이 포함돼 있다고 밝혔다. 이를 미뤄볼 때 공격 그룹은 미국 정부 관료 혹은 러시아, 중동 및 아프리카를 여행하는 기업인을 타깃하고 있는 것으로 추측된다.

전 세계에 걸쳐 정보를 수집하는 등 공격 범위가 넓고, 사용자 모르게 스크립트를 실행해 높은 수준의 보안을 유지하며 특정 대상을 타깃해 일정한 패턴 하에 웹사이트를 감염시키는 것이 그 근거다.

전수홍 파이어아이 지사장은 "웹 분석 툴은 마케팅 회사들이 고객들의 구매 패턴을 파악하고 사이트를 사용자의 브라우저에 최적화하는데 쓰였던 기술"이라며 "이번 발견을 통해 해당 기술이 보다 정교한 사이버 공격에 이용될 수 있다는 사실이 밝혀진 것"이라고 설명했다.

이어 "이러한 공격은 공격 대상의 컴퓨터 환경을 파악해 공격의 성공률을 높일 수 있다는 점에서 위협적"이라고 부연했다.