아래 표는 침해사고 신고 중 중소기업 침해사고 피해지원서비스에서 기술지원했던 사고유형 Top 10이다. 2024년 2분기 가장 많았던 사고유형은 해킹 경유지가 24.78%로 1분기에 이어 지속적으로 가장 높은 비중을 차지하고 있으며 랜섬웨어, 웹 취약점, 피싱 순으로 나타났다. 각 유형별로 증가와 감소의 변동이 있었으나, 전반적으로 웹 취약점과 악성 웹사이트 유도 공격의 증가가 두드러졌다.
| 사고유형 Top 10 | 4월 | 5월 | 6월 | 2분기 전체 | 전분기 증가율 |
|---|---|---|---|---|---|
| 해킹 경유지 | 34.09% | 20.00% | 18.06% | 24.78% | -7.77% |
| 랜섬웨어 | 15.91% | 10.00% | 23.61% | 16.52% | 4.73% |
| 웹 취약점 | 7.95% | 18.57% | 15.28% | 13.48% | 6.86% |
| 피싱 | 18.18% | 12.86% | 6.94% | 13.04% | 0.30% |
| 웹페이지 변조 | 6.82% | 11.43% | 13.89% | 10.43% | 3.35% |
| 악성 웹사이트 유도 | 3.41% | 11.43% | 8.33% | 7.39% | 5.40% |
| 기타 | 7.95% | 5.71% | 6.94% | 6.96% | 3.66% |
| 정보유출 | 1.14% | 4.29% | 5.56% | 3.48% | -6.43% |
| 스피어피싱 | 2.27% | 2.86% | 1.39% | 2.17% | -1.60% |
| 데이터 변조 | 2.27% | 2.86% | 0% | 1.74% | 1.08% |
특히, 2024년 2분기에서 악성 웹사이트 유도 공격은 3월부터 급격하게 증가했고, 5월에는 최고치를 기록했다. 2분기에 신고된 악성 웹사이트 유도 공격은 거의 발견되지 않았던 1분기 대비 5.40% 증가한 것으로 확인됐다.
악성 웹사이트 유도는 사용자가 정당한 웹사이트에 접속하려고 할 때, 악성코드 감염 또는 DNS 설정 변경을 통해 악성 웹사이트로 유도하여 불법 광고를 노출하는 사이버 공격 유형이다. 이러한 공격은 사용자가 모르는 사이에 발생하기 때문에 피해자가 인지하기 어렵고 매우 은밀하게 진행된다. 최근 몇 달 동안 악성 웹사이트 유도 침해사고가 급격히 증가했으며, 이는 주로 악성코드를 통한 DNS 설정 변경, 스케줄러 기능을 이용한 악성 스크립트 삽입, 호스팅 관리자 계정 탈취 후 DNS 설정 변경, 그리고 DLL Side-Loading 공격 방식 등을 통해 이루어지고 있다.
최근의 공격 방식은 더욱 정교하고 다양해지고 있으며, 이전과 다르게 DLL Side-Loading 방식을 악용한 사고가 관찰되고 있다. 이 방법은 정당한 프로그램 실행 시 악성 DLL을 로드하도록 하여 불법 광고 페이지로 리다이렉션 하는 방식으로, 기존의 보안 체계를 우회하는 특성을 가지고 있다.
악성 웹사이트 유도 공격은 사용자의 개인정보 보호와 시스템 보안에 심각한 위협을 초래하며, 이에 대한 경각심을 높이고 대응책을 마련하기 위해 해당 공격 방식에 대한 소개와 사례를 공유하게 되었다. 이번 보고서는 악성 웹사이트 유도 공격의 원인과 방법, 피해 사례, 그리고 예방 및 대응 방안에 대한 상세한 분석을 포함하고 있어, 기업과 개인이 이러한 공격에 효과적으로 대비할 수 있도록 돕는 것을 목표로 하고 있다.
악성 웹사이트 강제 이동과 파밍의 유사성은 두 공격 모두 사용자가 정당한 웹사이트에 접속하려는 시도를 가로채 악성 웹사이트로 유도한다는 점에서 나타난다. 이러한 유도 과정은 사용자가 모르는 사이에 이루어지며, 두 공격 모두 악성코드나 DNS 설정을 변경하여 정당한 웹사이트 대신 악성 웹사이트로 리다이렉션 한다. 결과적으로, 사용자는 정당한 웹사이트에 접속했다고 생각하지만 실제로는 악성 웹사이트에 접속하게 된다.
차이점은 공격의 목적과 세부 방식에 있다. 악성 웹사이트 유도는 주로 불법 광고 수익을 얻거나 악성 소프트웨어를 설치하도록 유도하는 것이 목적이며, 광고 웹사이트로 리다이렉션 된다. 반면, **파밍(Pharming)**은 개인 정보, 로그인 정보, 금융 정보 등을 탈취하는 것이 주된 목적이다. 파밍은 사용자의 중요한 정보를 빼내기 위해 가짜 금융 사이트나 로그인 페이지로 유도하는 반면, 악성 웹사이트 유도는 주로 광고 페이지나 악성 소프트웨어 다운로드 페이지로 유도한다.
과거에는 악성 웹사이트 유도 공격이 주로 단순한 악성 스크립트를 웹 페이지에 삽입하여 사용자를 광고 페이지로 리다이렉션 하는 형태로 이루어졌다. 이러한 방식은 비교적 간단했으며, JavaScript나 iframe태그를 통해 사용자가 특정 페이지를 방문할 때 자동으로 광고 페이지로 이동하게 하는 방식으로 공격이 수행됐다.
현재 침해사고에서 확인되는 공격은 단순 스크립트 삽입을 넘어, 서버와 네트워크 수준에서의 조작을 포함한다. 이는 공격자가 더욱 복잡하고 정교한 기술을 사용하며, 단순한 광고 스크립트 삽입을 넘어 호스팅 관리자 계정 탈취 후 DNS 설정 변경, 스케줄러 기능을 악용한 악성 스크립트 실행, DLL Side-Loading과 같은 고도화된 방법으로 진화했음을 보여준다. 이러한 변화는 단순히 사용자를 불법 사이트로 리다이렉트 시켜주는 것을 넘어서, 원상 복구가 어렵게 하며, 향후 피해 서버를 공격 거점으로 추가할 가능성도 내포하고 있다.