파이어아이, 웹 분석 툴 ‘위치코븐’ 통해 사용자 정보 수집 정황 발견

핀포인트 타깃 공격으로 이어질 수 있어 주의 해야

 

아주경제 권석림 기자 = 파이어아이는 지난 해 초부터 확인되지 않은 공격 그룹이 웹 분석 오픈 소스 툴인 ‘위치코븐(WITCHCOVEN)’을 이용해 특정 타깃 인터넷 사용자의 컴퓨터 및 브라우저 정보를 추적, 수집한 정황을 포착했다고 19일 밝혔다.

파이어아이는 국가의 후원을 받는 공격 그룹에 의한 소행일 것이라고 추측했다. 또 타깃에 대한 정보 수집 후 보다 정교한 공격 수단을 이용해 공격 성공률을 높일 수 있다는 점에서 위협적이라고 전했다.

공격 그룹은 합법적인 홈페이지의 HTML 코드를 변형시켜 사용자가 해당 웹사이트에 방문하면 프로파일링 스트립트, 즉, ‘위치코븐’ 스트립트가 호스팅되는 웹사이트로 리다이렉트 하는 워터링홀 수법을 이용했다. 파이어아이는 현재 감염된 웹사이트가 100개 이상인 것으로 추정된다.

위치코븐은 사용자 모르게 백그라운드에서 실행돼 방문자의 컴퓨터 및 브라우저 정보를 파악한 뒤 지속적으로 사용자 정보를 트래킹하는 ‘슈퍼쿠키(Supercookie)’라는 웹툴을 사용자 컴퓨터에 심었다. 슈퍼쿠키는 사용자 컴퓨터 내 여러 개의 스토리지에 쿠키를 생성하고, 삭제된 쿠키를 재생성 해 지속성을 확보하는 오픈소스 웹툴이다. 파이어아이는 이달 초, 총 14개의 웹사이트가 위치코븐 스크립트를 호스팅하고 있는 것을 탐지했다.

전수홍 파이어아이 지사장은 "웹 분석 툴은 기존에도 마케팅 회사들이 고객들의 구매 패턴을 파악하고 사이트를 사용자의 브라우저에 최적화하는데 쓰였던 기술"이라며 "웹 분석 툴을 이용한 공격은 공격 대상의 컴퓨터 환경을 파악해 공격의 성공률을 높일 수 있다는 점에서 위협적"이라고 말했다.