웹 페이지를 제작하기 점점 편리해지는 세상에 해커들의 공격 패턴 또한 대부분을 메일을 통하여 웹 페이지의 접근을 유도하는 방식을 사용하고 있습니다.
이러한 방식은 웹 페이지가 갖는 용도에 맞게 변경이 용이하고, HTTPS 라는 중간 탐지가 기술적으로 힘든점을 이용하기 때문에 해커들에 의해 주로 이용되고 있습니다.
이러한 공격 방식에 대한 자세한 내용을 (주)리투인 소프트웨어의 기술 리포트를 통해 전달 드리고자 합니다.
웹페이지탐지
웹 페이지 탐지는 서버로부터 수신 되는 웹 데이터를 확인하고 내부 악의적인 코드를 탐지한다.
웹 데이터는 HTML, Java Script 등으로 웹페이지에 사용 되는 데이터 집합이다. 일부 데이터는 상세하게 확인하지 않았을 때 알아보기 어렵게 악성코드를 숨기기 때문에 안전한 웹 사용 환경을 위해 웹 페이지 탐지기술을 사용한다.
웹 페이지 일반 탐지 - 문자열 비교
웹 페이지 일반 탐지 기술은 많은 보안 제품에 내포되어 무분별하게 배포하는 악성코드를 복합적으로 탐지 하는 것에 기여한다. 하지만 문자열 인코딩을 통해 악성코드를 숨긴 웹페이지는 쉽게 우회 할 수 있어서 점점 보안 기술로서 실효성이 줄어들고 있다. 보안패턴(해시 등)을 이용하여 악성코드 비교를 통해 탐지하거나 보안 이외의 목적으로 사용 할 수 있다.
웹 페이지 인코딩 탐지 - 디코딩
웹 페이지 인코딩 탐지 기술은 특정 문자열이 인코딩 된 웹 페이지를 디코딩(복구)하여 악성코드를 탐지한다. 웹 페이지 일반탐지 기술에서 특정 문자열을 디코딩 하는 기술을 추가한 것으로 숨겨진 악성코드를 복합적으로 탐지 하는 것에 효과가 있다.
일반 탐지와 인코딩 탐지
웹 페이지 탐지 기술의 일반 탐지와 인코딩 탐지는 파싱((syntactic)parsing)을 통해 의미 있는 문자열을 분류하고 검사한다. 이때 검사하는 문자열이 특정 패턴이 포함되어 있는지 확인하기 때문에 악성 URL 이나 악성 스크립트를 효과적으로 탐지할 수 있다.
하지만 악의적 목적으로 배포되는 일부 웹 페이지들은 조금씩 변화를 시도하면서 탐지 기술들을 우회하기 시작했다. 새로운 유형의 악성 웹 페이지가 조금씩 발견되고 그 중 일부는 웹 페이지 탐지기술을 우회 하기도 한다. 이에 대응하기 위해 보안 기술을 우회하는 원인을 확인 하고 그 해결 방법을 찾을 필요가 있다.
외부 웹 데이터를 통한 보안탐지 우회
(웹 페이지) 일반 탐지와 인코딩 탐지는 단일 웹페이지를 대상으로 검사하는 경우가 많다. 페이지 내부의 문자열을 비교 분석하고 일려진 패턴과 등록된 악성 URL을 탐지한다.
하지만 웹 페이지 탐지는 이미 존재하는 시스템 내부 데이터를 대상으로 검사하기 때문에 웹 페이지로 인해 시스템 밖의 외부 데이터는 탐지 대상에서 제외될 수 있다.
이 외부 웹 데이터의 악성코드 탐지가 어려운 이유는 시간 차 공격의 가능성이 존재하기 때문이다.
웹 페이지의 악성코드 탐지시점과 실제 사용자가 해당 웹 페이지를 사용하는 시점이 항상 동일하지 않는 것이 그 이유이다. 특히 웹 페이지 형식(HTML) 파일을 첨부파일로 전달되는 메일의 경우, 외부 추가 리소스(Java Script등)를 메일 발송 시간에는 접근을 제한하고 사용자 열람 할 시간(영업시간등)에만 동작(로드)하여 웹 페이지 탐지를 우회 할 수 있다.
기업의 주요 정보 자산을 보호하기 위해서 정보 보안은 모든 범위에서 이루어져야 한다.
하나의 허술한 영역을 집요하게 파고들어 공격하는 스피어 피싱 공격과 같이 특수한 공격 상황에서는 대응하기 쉽지 않기 때문이다.
불특정 다수를 대상으로 시도하는 공격 방식에서는 기존 웹 페이지 탐지 기술이 효과적일 수 있다.
하지만 현재의 웹페이지 탐지 기술에 있어서 기존 공격을 일부 방식을 조금 비틀어서 시도하면 보안 사고까지 이어질 가능성이 클 것으로 판단된다.
현재 불특정 다수를 대상으로 제작되었거나 피해자의 개인정보를 통해 특별히 제작된 다양한 피싱 사이트 URL은 일부 보안 제품에서 대응하고 있다. 하지만 공격 유형의 일부를 변경하여 새로운 방식의 공격을 동일하게 대응 할 수 있을지 알 수 없다.
