아래는 지오트에서 근무하는 분이 쓰신 글로.. 제게 좋은 정보를 많이 보내주시는 분이기도 합니다. 해킹과 트로이목마에 대한 이해에 도움이 될 것 같아 스크랩 차원에서 퍼다 날랐습니다...~
 
----------------------------->
지오트 바이러스 분석실(GCERT)에서는 최근 발견되는 국내외의 웹사이트 해킹율과 트로이목마 유포상황의 심각성을 알리고 현재의 실제상황을 좀더 객관적으로 사용자에게 전달하여 그 문제점과 대응방안을 되짚어 보고자 이 글을 작성하였다.

1. 인터넷의 발달

컴퓨터 통신과 인터넷상에서 접할 수 있는 정보가 급증하고, 시·공간의 제약을 받지 않는 특징 때문에 인터넷의 가상 사이버 공간은 접속하는 사람들의 수요가 기하급수적으로 증가하고 있다.

전 세계 인터넷을 통해 각종 뉴스와 멀티미디어등을 실시간으로 접하고 있으며 차츰 우리의 일상생활이 되어가고 있다.

또한 개인 웹로그(블로그)와 인터넷 카페, 온라인 게임, 미니홈페이지등은 또 하나의 사회현상을 만들어 가고 있기도 하다.

정보화추세가 확산되면서 컴퓨터로 배우자를 연결시켜주는 컴퓨터 중매인이 등장하고, 컴퓨터를 통해서 의식주를 해결하는 사람들도 늘어가고 있으니 어찌 인터넷을 우리 생활에서 빼 놓을 수 있겠는가?

2. 20년의 바이러스 역사

인터넷의 사용자가 증가하고 다변화하면서, 이를 통한 악의적인 공격도 비례적으로 증가하고 있다.

해킹, 피싱, 악성프로그램 유포, 사이버 범죄등이 사회문제로 대두되고 있기도 하다.

2006년은 브레인 컴퓨터 바이러스가 출몰한지 20년이 되는 해이며, 얼마후면 2003년 1월 25일에 있었던 인터넷 대란의 3주기가 되기도 한다.

최초의 바이러스로 알려져 있는 브레인(Brain)바이러스는 파키스탄인 Amjad Farooq Alvi(당시 26세)와 Basit Farooq Alvi(당시 19세)가 제작한 것으로 자신들이 판매하는 프로그램이 불법 복사되는 것을 막기 위해서 바이러스를 만들어 1986년초부터 자신들의 프로그램에 감염시켜 유포하였으며, 세계 최초로 일반에 확산된 도스용 바이러스로 알려져 있다.

국내에서는 올림픽이 있었던 1988년 5월부터 확산되어 발견되기 시작했고, 국내에서도 첫 번째로 발견된 바이러스로 기록되어 있다.

20년이 지난 2006년 01월 20일 현재 전 세계적으로 약 17만종 이상의 악성프로그램이 발견되었고, 거의 매일 수십여종의 신종과 변종이 발견되고 있으니, 어찌보면 인터넷의 악기능중에 하나일 것이다.

이 처럼 컴퓨터가 일상 생활용품이 되고, 악성프로그램이 증가하면서 누구나 한번쯤 컴퓨터 바이러스나 스파이웨어등으로 인해 컴퓨터 사용과정에서 애를 먹은 경험이 있을 것이며, 그로인해 백신등이 필수프로그램이 된 지는 아주 오래 전 일이다.

3. 웹 해킹을 이용한 트로이목마 유포

2005년 5월경을 기점으로 국내에는 웹사이트 해킹을 통한 악성프로그램 유포가 지속적으로 발견되고 있다.

일부에서는 확대해석된것이 아니냐는 반문과 여러가지 의구심이 있기도 하지만 이런 내용은 실제로 지금 국내 인터넷에서 무수히 일어나고 있는 일중에 하나이다.

중요한건 어떤 유명 사이트가 해킹당한것이 아니라 수 많은 사이트가 동시에 해킹되고 있다는것에 초점을 맞추어야 한다는 것이다.

해킹당한 한 사이트만의 문제가 아니라는 점이다.

지금은 공개하고 있지 않지만 나중에 그 동안 해킹되었던 모든 사이트의 리스트를 공개했을 때 많은 사람들이 놀라지 않을까 싶기도 하다.

일반 인터넷 사용자가 직접적으로 감염여부를 피부로 느끼지 못한다는 것과 신고건수가 저조하다는 이유만으로 이 사실을 부정할 수는 없다.

지오트 바이러스 분석실(GCERT)에서는 2005년 5월경부터 국내에서 임의의 웹사이트가 불법 해킹되어 트로이목마나 백도어등의 악성프로그램을 유포하는 상황을 지속적으로 모니터링하고 있다.

2006년 1월 20일 기준으로 발견 건 수를 자체 집계한 결과 약 3700건을 초과하였고, 매일 추가 발견되고 있으며, 이 중에는 유명사이트등도 다수 포함되어 있다.

아직 이런 종류의 웹 사이트 해킹과 악성프로그램 유포방식이 발견되기 시작한 것이 불과 약 반년정도 되었기 때문에 사회적으로 큰 문제나 이슈로 널리 알려져 있지는 않다.

또한 해킹당한 사이트들은 접속 사용자들에게 해당 내용을 신속히 알려 악성프로그램을 치료할 수 있도록 유도하기 보다는 자사의 웹사이트 해킹 피해사실만 쉬쉬하고 숨기는쪽으로 하고 있는것도 큰 문제이다.

4. 목적을 가진 악성프로그램 유포와 해킹

공격당한 특정 웹사이트를 통해서 불특정 다수의 접속자에게 보안취약점을 악용하여 트로이목마나 백도어, 스파이웨어등을 유포하는 사례가 우리가 느끼지 못하는 약 반년사이에 이제는 일반화 되고 있다고 말할 수 있다.

그 동안 어떤 악성프로그램(바이러스, 웜, 트로이목마 등)을 유포할 때 불특정 다수에게 유포하기 위한 가장 좋은 방법은 웜종류였다.

웜(Worm)은 인터넷과 네트워크를 매개체로 스스로 자신을 확산시키기 때문에, 컴퓨터 바이러스나 트로이목마보다도 상대적으로 빠르게 전 세계로 확산시킬 수 있었기 때문이다.

물론 최근의 웹사이트 해킹을 통한 악성프로그램 유포는 국내에만 한정되어 나타나는 것은 아니고 일본, 중국, 독일, 캐나다, 미국등지에서 발견된 바 있지만 특히 중국과 한국의 웹사이트가 많은 공격피해를 받고 있다.

이는 국내의 온라인 게임사용자들의 개인 정보(IP, ID, PASSWORD, ITEM, GAME MONEY)등을 탈취하여 금전적인 이득을 얻거나, 백도어등의 해킹프로그램을 설치하여 원격제어를 통한 추가범죄를 노리고 있기 때문이다.

최근까지 가장 많이 유포되는 악성프로그램의 경우가 국내 온라인 게임 사용자들의 개인정보를 도용하는 트로이목마로 부분적으로 제한되다 보니 게임과 무관한 일반 네티즌들은 이런 종류의 악성프로그램에 대해서 무감각해 질 수 밖에 없고, 해킹을 당한 웹사이트 관리자나 담당자 역시 자신들도 피해자일뿐, 또 다른 가해자라는 것을 느끼지 못한다.

한 예로 지오트 바이러스 분석실(GCERT)에서 해킹된 웹사이트 담당자에게 후속조치에 대한 전화통화를 하다 보면 해킹된것을 알려주어도 그냥 알았다라고만 일관할 뿐 조치하지 않는 경우와 오히려 너희들이 왜 상관하느냐라고 따지는 경우도 있으니 말이다.

해킹과 악성프로그램의 함수관계에 대해서 좀더 명확히 인지하고 자신의 웹사이트가 악성프로그램 숙주사이트로 변질되지 않도록 좀더 적극적인 웹보안에 대한 인식과 노력이 필요할 때이다.

5. 가상 시나리오

지난 2001년도에 IIS 웹서버 취약점과 이메일등으로 퍼졌던 Nimda 바이러스 경우 초기에는 단순 이메일 웜으로 알려졌었다.

하지만 이것은 IIS 웹서버의 보안취약점을 이용하여 웹서버에서 파일명이 index, main, default 이고 확장자가 htm, html, asp 인 파일을 찾아 Javascript 코드를 추가 하고 readme.eml 바이러스파일을 같이 생성해 놓는다.

그래서 웹서버가 Nimda 에 감염이 되면 이 웹서버에 접속하는 사용자가 특정 보안패치가 되어있지 않을 경우 바이러스에 자동감염될 수 있었다.

이와같이 취약점을 통해서 웹사이트를 매개체로 한 바이러스 유포는 그 당시 이슈가 된 바 있다.

악성프로그램을 분석하는 연구원이나 보안담당자들은 코드레드 웜이나, 슬래머 웜, 님다 바이러스와 같이 취약점등을 통해서 급속하게 확산하거나, 제로데이 공격과 같은 것에 대해서 사전위험성등을 알리는 경우가 있다.

또한 존재 가능성을 증명하기 위해 개념 증명용 POC(Proof of concept)코드들도 같이 발표하는 사례가 있는데 이런 경우 오히려 악용되는 경우도 있다.

사전위험성과 그것을 증명하기 위한 연결고리 사이에는 또 하나의 위험고리가 연결 될 수 있다는 의미를 내포하고 있으며, 그래서 일부 보안전문가들은 POC 를 공개하지 않고 위험성만을 발표하거나, 제한된 특정인들에게만 공유하는 경우가 있다.

새로운 악성프로그램의 공격은 항상 빠르고, 그에 대한 대처는 항상 늦을 수 밖에 없을 것이다.

최근에 국내에서 나타나고 있는 웹사이트 해킹과 트로이목마등의 유포는 공격자가 맘만 먹는다면 언제든지 사이버 공격으로 발전할 수 있다는것도 배제할 수 없다.

물론 아직 나타나지 않은 것에 대한 위험성 경고는 어떤 기준을 삼느냐에 따라서 순기능이 될 수 도 있고 역기능이 될 수 도 있다.

최악의 가상 사이버 공격 시나리오는 지금까지 제한되어 있는 트로이목마나 백도어가 아닌 CIH 바이러스와 같은 특정조건(4월 26일)의 파괴력을 가진 신종 컴퓨터 바이러스가 새로운 취약점을 이용하여 해킹된 웹사이트를 통해서 무차별적으로 불특정다수에게 유포되는 경우이고 그 파급효과는 엄청날 것이 분명하기 때문이다.

보통의 컴퓨터 바이러스는 사용자에게 발견되어 백신업체등에 신고되어 업데이트 과정을 거친다.

만약 국내의 특정 포털 사이트가 해킹되어 백신에서 진단되지 않는 신종 컴퓨터 바이러스가 새로운 취약점을 통해서 동시다발적으로 유포되고, 특정 조건이 될때 사용자 컴퓨터를 공격한다면, 한 순간에 한 국가의 경제가 마비될 수 도 있다는 것이다.

필요에 의해서만 대비하는것과 현재의 흐름을 파악하고 대비하는 것은 그 결과가 전혀 다른 양상을 띠게 된다.

6. 적절한 준비와 대처

이 글을 읽는 모든이들은 위와 같은 최악의 시나리오가 현실화 되는것을 원하지 않을 것이다.

하지만 과거에 생각했던 것을은 미래에 현실이 되고, 다시 그것은 과거로 변화하듯이 악성프로그램 제작자들도 현재에 없는 새로운 시도를 지속적으로 하고 있다는 것을 잊어서는 안될 것이다.

지오트 바이러스 분석실(GCERT)에서 GWHS(Geot Web Hacking Scan)를 통해서 하루 평균 발견되는 국내 웹사이트 해킹을 통한 악성프로그램 유포는 10 에서 30여건이상이다.

자신의 눈으로 직접 보지 않고서는 믿지 못할 정도로 국내의 많은 사이트들이 보안취약점과 ActiveX 컨트롤 등을 통해서 악성프로그램을 일반 네티즌들에게 유포하고 있다는 것이다.

보통 국내의 백신업체는 신고접수율등을 기준으로 단계별로 보안위협등급을 나누어 컴퓨터 사용자들에게 보안알림 서비스를 진행하고 있다.

하지만 이런 종류의 악성프로그램 유포는 사용자가 인지하기 어렵다는 것이 가장 큰 어려움이며, 그래서 어느정도의 악성프로그램이 유포되는지 파악하기 힘든 상황이며, 어디서 감염되는지 조차 알 수 없는것이 대부분이다.

사용자의 신고율에 의해서 대비하는것도 중요하지만 현재 어떠한 사이트들이 해킹되어 악성프로그램이 유포되는지, 그리고 신속하게 감지하여 해당 사이트 관리자에게 후속조치를 권고하는 것은 더더욱 중요한 보안관계자의 업무일 것이다.

좀더 많은 사용자가 웹사이트의 해킹과 트로이목마의 위험성에 노출되어 있다는 것을 인식해야 함은 물론 최신 보안패치와 최신 정보, 최신 보안프로그램등을 잘 관리하는 것이 최선의 방어책일 것이다.

해킹 사이트를 통해서 유포되는 트로이목마나 백도어는 게임사용자만의 문제가 아닌 범국가적인 보안의식 문제와 결부된다는 것도 다시 한번 되새겨보았으면 한다.

2006년 01월 20일 지오트 바이러스 분석실(GCERT) 문종현 실장
Writer profile
author image
링블로그 주인장 그만입니다. 그만에 대한 설명은 http://ringblog.net/notice/1237 공지글을 참고하세요. 제 글은 CC가 적용된 글로 출처를 표기하시고 원문을 훼손하지 않은 상태로 퍼가셔도 됩니다. 다만 글은 이후에 계속 수정될 수 있습니다.
2006/01/20 17:50 2006/01/20 17:50

TRACKBACK :: 이 글에는 트랙백을 보낼 수 없습니다

카테고리

전체 (1951)
News Ring (644)
Column Ring (295)
Ring Idea (1004)
Ring Blog Net (8)
Scrap BOX(blinded) (0)

달력

«   2024/10   »
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    

링블로그-그만의 아이디어

그만's Blog is powered by TEXTCUBE / Supported by TNM
Copyright by 그만 [ http://www.ringblog.net ]. All rights reserved.