유튜브 동영상만 봤을 뿐인데 ‘황당 해킹’

갈수록 교묘해지는 해킹

‘낯선 사람이 보낸 e메일이나 알려지지 않은 사이트는 열지 않는다. 비밀번호를 자주 바꾼다. 백신을 설치한다.’

대부분 사람들은 이 정도의 조심을 하면 해킹 피해자가 되지 않을 것이라 여긴다. 정보보안 전문 기업들이 제시하는 지침도 비슷하다. 하지만 최근의 해킹 기법들은 이러한 인식을 가볍게 뛰어넘는다. 보안 위협과 전혀 무관하게 여겼던 일반적인 인터넷 사용 중에도 나도 모르게 PC에 악성코드가 심어지는 공격이 속속 나타나고 있다.

○ 유튜브 동영상만 봐도 ‘악성코드’ 감염

‘유튜브 동영상을 봤을 뿐인데 해킹을 당했다.’ 믿기 어렵지만 실제 일어난 일이다. 미국 정보보안 업체 브로미엄은 지난달 말 시애틀에서 열린 국제 정보보안 콘퍼런스 ‘바이러스 불러틴 2014’에서 동영상 서비스의 광고를 이용한 악성코드 유포 사례를 발표했다. 해커 일당이 ‘광고주’로 위장해 동영상을 볼 때 나타나는 배너 광고로 악성코드를 심는 것이다. 보안 패치를 제대로 설치하지 않은 사용자가 동영상을 감상하면 PC 내 파일들을 ‘인질’로 잡는 악성코드 랜섬웨어(ransomewear)가 즉각 설치된다. 이후 해커들은 해킹한 사용자의 e메일 등을 통해 “비트코인(추적이 불가능한 디지털 화폐)으로 500달러(약 53만 원)를 보내지 않으면 파일을 영원히 복구하지 못할 것”이라고 협박한다.

멀쩡한 동영상 서비스를 이용하기만 한 사용자 입장에서는 황당하기 짝이 없다. 브로미엄의 바딤 코토프 연구원은 “인터넷 광고 플랫폼이 해킹에 쓰이는 값싸고 효율적인 도구가 되고 있다”고 경고했다. 악성코드를 심어놓은 배너 광고를 올려놓기만 하면 다수의 사용자가 자동으로 보기 때문이다.

일반 웹사이트를 해킹해 악성코드를 심어놓은 뒤 접속자 PC에 악성코드를 심는 ‘워터링 홀(watering hole)’ 공격도 급증하는 추세다. 워터링 홀은 마치 평온해 보이는 연못 속에 악어가 잠복해 있는 것 같은 방식 때문에 붙여진 이름. 한국인터넷진흥원(KISA) 집계에 따르면 2012년 1만3018여 개였던 ‘악성코드 은닉사이트’는 2013년 1만7750개로 급증했다.

국내 한 유명 여행사 사이트에서는 휴가가 집중된 올해 7∼9월에 13건의 악성코드가 삽입된 것이 발견되기도 했다. 보안업체 빛스캔 전성훈 이사는 “공격자들이 사용자들이 몰릴 만한 웹사이트를 해킹해 악성코드 유포지로 활용하고 있는 상황”이라고 설명했다. 악성코드에 대한 대응이 이뤄지기 전까지의 ‘취약점’을 노리기 때문에 사용자 접속 빈도가 높은 곳을 택하는 ‘전략’이다.

○ 교묘해진 피싱…“감염 후에도 인지 못 해”

e메일을 통한 악성코드 공격도 교묘해졌다. 사용자들에게 ‘모르는 메일은 함부로 열지 않는다’는 보안 수칙이 일반화되자 ‘열 수밖에 없는 메일’(스피어 피싱)로 위장하고 있는 것이다. 이를테면 기업 인사담당자에게 ‘올해 공채계획’ 내용을 담은 문서에 악성코드를 심어 메일을 보내는 식이다. 보안업체 파이어아이의 김현준 기술총괄 상무는 “상대방에 대한 정보를 미리 파악해 사용자가 열어본 후에도 해킹인지 알기 어려울 만큼 정교하게 문서를 꾸미는 경우가 많다”고 설명했다.

사용자를 속이기 위해 침투 후 공격까지 걸리는 잠복 기간이 6개월에서 최대 1년인 ‘장기전’을 구사하는 악성코드도 늘어나고 있다. 잠복 기간이 길수록 악성코드가 어디로부터 침입했는지 밝히는 작업이 어려워진다.

보안 담당자가 출근하지 않는 주말에 공격이 집중되기도 한다. 빠른 탐지가 어렵기 때문이다. KISA는 전체 악성코드 공격 사고의 70%가 금요일 오후 6시 이후부터 일요일 밤 사이에 발생하는 것으로 파악하고 있다. 여행사 사이트 악성코드 공격 역시 토요일 밤 집중적으로 이뤄진 것으로 나타났다. 정현철 KISA 침해사고분석단장은 “담당자가 즉각 대응을 못하는 경우가 많은 점을 악용한 것”이라며 “창(악성코드)이 방패(대응책)보다 진화하고 있는 것이 사실”이라고 말했다.

황태호 기자 taeho@donga.com