보안업체도 모르는 신종 악성코드… 수법도 정교

伊 해킹팀 유출자료 악용우려 현실로

해커집단이 이번에 통일교 홈페이지 해킹에 사용한 기법은 ‘워터링 홀(Watering Hole)’이다. 해킹하려는 특정 대상이나 그룹이 있으면 이들이 자주 방문하는 사이트를 먼저 공격해 악성코드에 감염시킨 뒤 표적이 접속하기를 기다려 2차 감염을 노리는 방식이다.

이번 해킹 공격으로 얼마나 많은 PC가 해커의 손에 넘어가 좀비 PC가 됐는지는 확인되지 않고 있다. 하지만 보안업계에서는 악성코드가 이제껏 발견된 적이 없는 ‘신종’인 데다 수법도 정교해 피해가 클 것으로 예상하고 있다.

국내 정보기술(IT) 보안업계 관계자는 “이번 공격에 쓰인 악성코드는 정보가 거의 없는 신종이라 위험성이 더 크다”며 “이용자들이 수상한 e메일을 클릭하거나 출처가 불분명한 첨부 파일을 내려받지 않아도 이미 해당 PC는 해커들의 손에 넘어가 PC의 주인이 바뀐 상태”라고 말했다.

○ 접속만 해도 악성코드에 노출

2013년 1월 공식 명칭을 세계평화통일가정연합(가정연합)으로 변경한 통일교 홈페이지는 ‘통일교 주소’(www.tongilgyo.org)와 ‘가정연합 주소’(www.ffwp.org)로 나뉜다. 이 가운데 해킹집단이 악성코드를 설치해놓은 곳은 통일교 주소다.

홈페이지 운영자 측은 이용자들이 통일교 주소로 접속할 경우 자동적으로 가정연합 주소로 이동하도록 설정해 놓았지만 이미 이용자들은 악성코드에 노출된 뒤다. 만약 이전부터 통일교 주소를 ‘즐겨찾기’ 해놓은 사용자라면 가정연합 주소로 자동적으로 바뀌어 전혀 문제를 느끼지 못하지만 악성코드에 감염됐을 가능성이 높다.

가정연합 주소는 악성코드에 감염돼 있지 않지만 이 역시 안전하다고 보기 힘들다. 게시판 및 일부 기능을 통일교 주소와 혼용해 사용하고 있어 명확한 구분이 없는 상태이기 때문이다. 실제 가정연합 주소에서 오른쪽 상단의 영어나 일본어 기능을 누를 경우 악성코드에 감염된 통일교 주소로 이동해 곧바로 악성코드에 노출된다.

○ 땜질식 처방이 화 키워

보안 전문가들은 해커집단이 특정 종교 사이트를 이용해 악성코드를 유포하는 사례는 이번이 처음이 아니지만 매번 근본적인 보안 대책이 마련되지 않고 땜질식 처방에 그치고 있어 피해가 커지고 있다고 지적한다.

실제 올해 1월 교회 홈페이지 관리업체가 해커 공격을 받아 전국 교회 홈페이지 1만1000여 곳이 동시에 악성코드 유포지로 악용되고 있다는 사실이 언론을 통해 알려졌지만 정작 악성코드가 사라진 것은 4개월이 더 지난 5월 27일이었다.

악성코드 감염 위험성이 알려진 뒤에도 4개월 동안 사실상 방치된 셈이다. 당시 각 교회 신도들이 홈페이지에 접속할 경우 4차례의 중간 경유지를 거쳐 악성코드가 다운로드됐다. 해당 악성코드는 공인인증서를 훔치거나 가짜 사이트로 유도해 돈을 빼앗는 ‘파밍 악성코드’였다.

한국인터넷진흥원(KISA) 관계자는 “당시 업체 측이 ‘내부적으로 보안 대책을 마련하겠다’고 답변했지만 실제 어떠한 대책을 마련해 악성코드 추가 공격을 막았는지는 모른다”며 “KISA는 감염 원인을 조사하거나 대책 마련을 강제할 권한이 없어 ‘알아서 하겠다’고 답하면 사실상 방법이 없다”고 말했다.

서동일 기자 dong@donga.com