워터링 홀(Watering Hole)은 사용자들의 정보를 수집하여 주로 방문하는 웹사이트를 파악하고, 그들이 방문할 가능성이 있는 정상 웹사이트에 악성코드를 심어 놓은 후 피해자의 컴퓨터에 악성 프로그램을 추가로 설치하는 공격입니다. 이는 마치 사자가 사냥을 위해 물웅덩이 근처에 매복하고 있다가 먹잇감이 물에 빠지면 공격하는 형상을 빗댄 것으로, 웹 기반의 특정 IP 접속자를 대상으로 하는 표적 공격입니다. 최근에는 산업스파이 활동 목적 외에도 상대적으로 보안 위협에 취약한 중소기업들이 워터링 홀을 많이 당하고 있는 추세입니다.
워터링 홀은 제로데이 취약점과 같은 컴퓨팅 환경의 취약점을 노린 대규모의 표적형 공격 수법으로 많이 사용되고 있습니다. 공격자가 워터링 홀을 하는 이유는 ①불특정 다수를 공격하기 위해 방문자가 많은 웹사이트에 취약점을 이용한 악성코드를 심을 수 있고, ②직접적인 악성코드 유입이 쉽지 않을 경우 공격 타깃이 스스로 악성코드를 다운로드 하도록 유인하기 위해서입니다.
스피어피싱과 워터링 홀의 차이는 이메일 등에 대한 내부 사용자의 방어가 부족하면 스피어 피싱을, 내부 방어 체계가 잘 되어 있으면 사용자 자신의 약점을 유도하는 워터링 홀을 이용하여 공격합니다.
대응방안
- 자주 방문하는 사이트라도 보안 설정을 유지하는 인식교육을 수행
- 백신 업데이트와 같이 보안 솔루션 최신화를 유지
- 24*365 상시 관제 모니터링 체계 구축
- 서버를 논리적/물리적 망 분리를 함으로써 공격으로 인한 직접적 피해가 없도록 해야함
[참고]
‘당신’만 노리는 사이버상에 설치된 덫, 워터링 홀(보안뉴스 이소미 기자)
키워드로 정리하는 정보보안 119(제이펍 출판사 문광석 지음)