드라이브 바이 다운로드(Drive-by download) 공격

최근 발생하는 많은 해킹 사건들 속에서 쉽게 발견할 수 있는단어.

드라이브 바이 다운로드에 대해 알아보자

드라이브 바이(Drive-by)란?

외국 영화에 자주 등장하는 갱스터의 특정 행동을 말한다. 정확히 말하면 차를 타고 달리면서 총을 쏘는 행동이며, 원래는 Drive by shooting 이라고 불리지만 너무 길었는지 Drive-by라고 부른다고 한다. 자동차의 기동성과 총의 살상력을 합하여 불특정 다수에게 난사하는 기술이다. 본래 미국 갱스터가 개발한 기술이지만 세계대전에서 전술로 사용되기도 하였다고 한다.

드라이브 바이 다운로드(Drive-by download)란?

드라이브 바이라는 무시무시한 이름에 걸맞게 악성코드를 불특정 다수에게 난사할 수 있는 공격기법이다. 정확히 말하면 두개로 나누어볼 수 있는데 액티브X나 실행파일의 결과에 대해 잘 모르는 사용자에게 설치를 유도하는 방식과 웹사이트에 접속하기만 해도 악성코드가 설치되고, 실행되는 위험한 공격이다. 설치를 유도하는 방식은 사용자가 악성코드인지 모르고 다운받을 수 있도록 교묘하게 속인다. 악성코드를 발견했으니 치료해 주겠다며 백신프로그램을 설치해야한다는 방식으로 접근하기도 하고, 각종 광고로 접근하기도 한다. 사용자 동의 없이 악성코드가 설치되는 방식은 악성코드가 설치 및 실행되는 과정에서 가시적인 변화가 없기 때문에 일반 사용자가 인지하기란 매우 어려운 일이다. 물론 설치하는 공격은 드라이브 바이 설치(Drive-by install)으로 분류되지만 비슷한 의미로 드라이브 바이 다운로드로 통합되어서 사용되는것 같다.

드라이브 바이 다운로드는 왜 이슈가 되는가?

첫 번째 이유는 정교하고 자동화 되어있는 익스플로잇 킷(Exploit kit)이 암시장에서 많이 거래되기 때문이다. 툴이 거래되니 편리하게 사용하는 사람이 많아진것이다. 두 번째 이유로는 악성코드의 배포가 쉽고 대상이 불특정 다수라는 점이 매력적이기 때문이다. 특히 랜섬웨어같이 금전적인 목적을 취하기 위한 악성코드에게는 그 매력이 극대화된다. 감염 대상이 누구든 상관이 없기 때문이다. 이는 DDOS공격에도 큰 매력으로 다가온다. 양으로 승부하는 공격인 만큼 누구든 클라이언트가 많이 필요하기 때문이다. 최근 각종 랜섬웨어가 많이 등장하기도 하고, 점점 거대한 트래픽으로 발전하는 트래픽 공격이 생겨나면서 드라이브 바이 다운로드 기법도 이슈가 되는것 같다. 

드라이브 바이 다운로드에 걸리지 않기 위해

드라이브 바이 다운로드는 사용자에게는 매우 치명적이다. 그렇다고 해서 기업에게 치명적이지 않다는 것이 아니다. 그렇기 때문에 큰 기업일수록 직원들에게 보안교육을 충실히 해야하고 보안 동향을 꾸준히 체크해야한다. 우선 사용자든 기업이든 업데이트는 필수다. 모든 보안 예방법에서 나오듯이 업데이트를 하지않고 보안피해를 당한것은 사용자의 잘못이다. 드라이브 바이 다운로드를 막기 위해선 웹 필터링 어플리케이션이 있으면 좋다. 드라이브 바이 다운로드가 존재할 수 있는 사이트에 대한 접근을 경고 및 통제해준다. 마지막으로 서버 운영에 해당하는 내용이다. 사용자들이 관리자 계정으로 접속하지 못하도록 해야한다. 관리자 본인도 되도록 일반계정으로 접속해서 root권한으로 변경하는것이 좋다. 예방이라기 보다는 추가피해를 줄이기 위한 방법이라고 생각한다.