티스토리 뷰
목차
워터링 홀에 대한 이해 및 실제 사례
워터링 홀(Watering Hole)은 공격 대상이 방문할 가능성이 있는 합법적 웹사이트를 미리 감염시킨 뒤 잠복하면서 피해자의 컴퓨터에 악성코드를 추가로 설치하는 공격을 말합니다. 사자가 마치 먹이를 습격하기 위해 물웅덩이(Watering Hole) 근처에서 매복하고 있는 형상을 빗댄 것으로, 표적 공격이라고도 한다. 워터링 홀은 사전에 공격 대상에 대한 정보를 수집한 후 주로 방문하는 웹사이트를 파악, 해당 사이트의 제로 데이(Zero Day: 공개되기 전에 알게 된 정보의 취약점) 등을 악용해 접속하는 모든 사용자에게 악성코드를 뿌리기 때문에 사용자가 특정 웹사이트에 접속만 하더라도 악성코드에 감염될 수 있습니다. 시만텍에 따르면 2012년 한 해 동안 발생한 표적공격 두 건 중 한 건이 종업원 수 2,500명 이하 기업을 겨냥했습니다. 종업원 수 250명 미만 소기업을 노린 표적 공격도 31%에 달했습니다. 시만텍은 2013년 2월 애플, 페이스북, 트위터 등이 해킹 때문에 악성코드 배포지로 전락한 사건도 워터링 홀로 규정했습니다. 시만텍은 2014년 8월 초 조직적으로 다수의 구 동유럽 국가 정부와 대사관을 겨냥한 대규모 사이버 스파이 활동을 포착했습니다. 공격단체는 사이버 정찰 활동을 위해 트로이목마 윕봇(Trojan.Wipbot)과 타브딕(Tavdig) 백도어를 사용했습니다. 이후 또 다른 악성코드 툴라(Trojan.Tulra)를 이용해 장기간 모니터링 했습니다. 툴라는 공격자에게 강력한 스파이 기능을 제공합니다. PC를 시작할 때마다 실행되도록 설정돼 웹 브라우저를 여는 즉시 공격자와 통신이 가능한 백도어를 실행한다. 툴라를 쓴 공격자는 스피어 피싱(Spear Phishing) 이메일과 워터링 홀(Watering Hole) 공격 기법으로 피해자를 감염시키는 이중 전략을 취했습니다. 워터링 홀 기법의 실제 사례도 알아보겠습니다. 2013년에는 외교협회(CFR) 홈페이지를 대상으로 한 워터링홀 공격으로 정부 관료, 업계 임원 등 방문객 시스템이 손상되기도 했습니다. 2017년에는 APT10으로 알려진 APT 그룹이 미국과 유럽의 항공우주 및 방위산업 관련 웹사이트를 대상으로 실시한 워터링 홀 공격으로 방문자를 민감한 정보를 훔치도록 설계된 악성코드로 감염시켰습니다.
작동 원리 및 주요 특징
악의적인 행위자는 특정 산업이나 조직 내에서 대상 고객이 정기적으로 방문하는 웹사이트를 식별합니다. 여기에는 업계 포럼, 협회 웹사이트 또는 인기 있는 뉴스 사이트가 포함될 수 있습니다. 대상 웹사이트가 식별되면 공격자는 이러한 합법적인 사이트에 악성 코드나 악성 코드를 삽입합니다. 이 코드는 방문자의 웹 브라우저나 소프트웨어의 취약점을 악용하여 공격자가 시스템에 무단으로 액세스할 수 있도록 설계되었습니다. 대상 그룹의 개인이 손상된 웹사이트를 방문하면 해당 사용자의 장치가 자신도 모르게 또는 동의 없이 맬웨어에 감염될 수 있습니다. 그런 다음 이 악성 코드를 사용하여 로그인 자격 증명, 금융 데이터 또는 지적 재산과 같은 민감한 정보를 훔칠 수 있습니다. 워터링 홀 기법은 무차별적인 사이버 공격과 달리 공격자가 관심을 갖고 있는 특정 집단이나 조직에 초점을 맞춘 고도로 표적화된 접근 방식을 사용합니다. 이렇게 하면 성공 가능성이 높아지고 탐지 가능성이 줄어듭니다. 공격자는 대상이 자주 방문하는 합법적인 웹 사이트를 손상시켜 사용자가 해당 사이트에 부여한 신뢰를 악용합니다. 방문객들은 반칙을 의심할 가능성이 적어 감염에 더 취약합니다. 또한 맬웨어는 신뢰할 수 있는 웹사이트를 통해 전달되기 때문에 사용자는 자신이 감염되었다는 사실을 깨닫지 못할 수도 있습니다. 이러한 은밀한 접근 방식을 통해 공격자는 의심을 불러일으키지 않고 오랫동안 피해자의 시스템에 대한 액세스를 유지할 수 있습니다.
워터링 홀 대응 전략
워터링 홀은 산업 스파이 활동을 목적으로 컴퓨터나 네트워크를 감염시켜 기밀 정보를 빼내기 위해 사용됩니다. 빈도가 낮고 공격자의 웹사이트에서 자동으로 돌연변이 악성코드를 생성해 매번 기존 유형과 조금씩 다른 형태로 공격하는 서버 측 다형성 공격기법을 이용하기 때문에 방어하기 어렵다는 게 특징입니다. 과거엔 주로 타깃화된 사이버 첩보 활동에 쓰였지만 최근엔 상대적으로 보안 위협에 취약한 중소기업을 노린 워터링 홀도 증가하고 있습니다. 이처럼 워터링 홀에 대응하기 위해 회사 조직은 정기적인 취약성 평가, 웹 애플리케이션 방화벽, 콘텐츠 보안 정책과 같은 강력한 웹 보안 조치를 구현하여 워터링 홀 공격을 탐지하고 방지할 수 있습니다. 또한 익숙하지 않거나 손상된 웹사이트 방문과 관련된 위험에 대해 사용자를 교육하면 감염을 예방하는 데 도움이 될 수 있습니다. 교육에는 의심스러운 웹사이트 동작을 인식하고 소프트웨어를 최신 상태로 유지하는 것의 중요성에 대한 지침이 포함되어야 합니다. 추가로 , 바이러스 백신 소프트웨어, 침입 탐지 시스템, EDR(엔드포인트 탐지 및 대응) 도구와 같은 엔드포인트 보안 솔루션을 배포하면 사용자 장치에서 맬웨어 감염을 탐지하고 완화하는 데 도움이 될 수 있습니다. 워터링 홀 기술은 사이버 공격에 대한 정교하고 표적화된 접근 방식을 나타내며, 사용자가 합법적인 웹 사이트에 부여한 신뢰를 활용하여 시스템을 맬웨어로 감염시킵니다. 이 기술의 특성을 이해하고 적절한 완화 전략을 구현함으로써 조직은 워터링 홀 공격의 피해자가 되는 것으로부터 자신과 사용자를 더 잘 보호할 수 있습니다.