'해킹 정보가 수익모델'로 급부상...국내 보안 취약성 드러내

옥션에 이어 최근 청와대 전산망도 해킹을 당한 것으로 드러났다.

청와대는 지난 2월 웜 바이러스에 의한 해킹으로 안보 관련 여론 동향, 보고서 작성 매뉴얼, 보고서 등 국가안전보장회의(NSC) 일부 자료가 유출됐으며 조사결과 국가 안보에 직결된 기밀 문서는 아니었다고 밝혔다.

옥션은 fuck kr이라는 해킹 프로그램에 의해 옥션 회원 가운데 60%인 1,081만여명의 이름과 주민등록번호, 아이디, 주소, 전화번호, 계좌번호 등 개인정보가 유출됐으며, 80여만명의 피해정도는 이름과 아이디 등 부분적 정보만 유출됐다고 밝힌 바 있다.

◆최근 국내에 해킹사고가 빈번히 발생하는 이유는 무엇일까?=첫째, 해킹을 통해 얻어지는 정보가 새로운 비즈니스 모델로 부상하고 있다는 점을 꼽을 수 있다. 특히 보이스피싱 등의 2차 범죄로 연결될 경우 새로운 수익모델을 만들 수 있다.

예전과 달리 최근 수년간의 사이버 범죄는 단순 호기심차원이 아닌 경제적인 이익을 노리는 범죄집단으로 발전하고 있는 게 사실이다. 주로 제3의 PC에 Bot바이러스를 심어 놓은 후 스팸을 발송시켜서 불특정 다수의 취약한 시스템에 침투하는 방법을 이용한다. 이를 통해 백도어 애플리케이션 같은 것을 침투시켜 해킹 공격을 시도할 수 있다.

둘째, 한국은 뛰어난 인터넷인프라를 갖추고 있어서 웹을 통한 접근성이 좋다.

2007년 발생한 EXPL_ANICMOO.GEN 감염의 74%가 아시아 지역에서 발생했다. 이 공격에 들어 있는 변조된 TROJ_ANICMOO.AX 위협도 이와 같은 비율이다. 감염된 컴퓨터의 64%가 실제 중국에서 발생했다.
중국은 최근 악성코드 및 스팸등의 유포근원지로 급성장 하고 있으며, 한국어를 구사하는 중국인들을 이용한 보이스피싱 등의 2차 범죄와 연계하기에 좋은 지리적 환경을 가지고 있어서 한국이 주요 공격 대상이 되고 있다. 또한 게임 아이템의 불법 판매 등 한국의 네티즌들을 대상으로 비즈니스를 할 경우 큰 돈을 벌 수 있다는 점이 새로운 공격을 유발하고 있는 것으로 나타났다.

셋째, 여타 국가에 비해 한국은 상대적으로 보안에 상당히 취약하고 비교적 단순한 보안 솔루션을 구성하고 있다.

국내 기업이나 공공기관, 일반사용자들 대부분이 PC용 백신 하나면 모든 것이 해결된다고 믿고 있다. 그것 마저도 인터넷이 느려진다는 이유로 실시간 감시기능이나 방화벽 기능 등을 사용하지 않고 있으면서도 P2P 등을 통해 검증되지 않은 파일들을 서로 주고 받는다.

보안업체들은 "기업이나 공공기관에서도 보안 솔루션은 방화벽, IPS, PC용 백신 정도로 생각하고 메일서버, 파일서버, 그룹웨어, 네트워크 세그먼트별 보안 솔루션에 대해선 무관심한 상황"이라며 "PC용 백신만으로 보안이 된다고 생각하는 것은 마치 안방문만 잠그고 현관문과 대문은 열어 놓고 자는 것과 같은 위험한 일"이라고 말했다.

◆웹 통해 우회하는 해킹은 방화벽, IPS도 '막지 못해'=기본적으로 해킹은 방화벽이나 IPS(침입방지시스템) 등으로 막을 수 있다고 생각한다. 하지만 기존의 방화벽이나 IPS의 보안기능이 발달하면서 더 이상 해커들이 활동하기 힘들어지자 오늘날의 해킹은 웹을 통해 우회하여 진행된다.

웹을 통해 악성코드를 먼저 기업이나 공공기관 내부에 침투시킨 후 백도어나 트로이목마, 봇이나 웜 바이러스 등을 통해 다양한 방법으로 해킹루트를 만드는 것이다.

2007년 6월 이탈리아에선 6,000개의 웹사이트가 순식간에 HTML_IFRAME.CU로 드러난 숨겨진 IFRAME에 의해 감염되어 15,000명의 네티즌이 트로이목마에 감염되는 사건이 발생했다. 더욱 심각한 것은 이런 악성코드를 제작할 수 있는 개발프로그램이 인터넷에서 5만원에 거래되고 있다는 점이다.

한국트렌드로마이크로 박수훈 지사장은 "아무리 좋은 방화벽이나 IPS를 이용해도 웹사이트를 통해 유입되는 경로를 막을 수는 없다. 기업 내부에서 웹사이트 검색을 완전히 금지하지 않는 한 이는 불가능한 일"이라며 "앞으로 해킹을 통한 개인정보, 기밀정보 유출, 유출된 정보를 통한 보이스피싱, 금융사기 등 추가 피해로 이어지는 지하경제가 갈수록 커질 것으로 예상된다"고 전했다.

트렌드마이크로는 다음과 같은 "다양한 악성코드 유입경로에 따른 대응책"을 발표했다.

네트워크 공유

오늘날 가장 대표적인 악성 코드 전파 방법은 네트워크 공유입니다. 네트워크 공유를 통해 전파되는 악성 코드는 3가지 방식으로 대상 시스템에 액세스합니다

사전 및 순차적 대입 공격(Brute-Force Attack)
일부 악성 코드는 본문의 공통 사용자 이름과 암호 목록을 통해 하드 코딩되어 있습니다. 그런 다음 이러한 악성 코드는 이 목록을 이용해 딕셔너리 공격을 시작하고 대상 시스템을 해킹합니다.

딕셔너리 공격이란 악성 코드가 시스템에 액세스하기 위해 하드 코딩된 목록에서 사용자 이름과 암호의 모든 가능한 조합을 시도하는 순차적 대입 공격이라고 정의할 수 있습니다.

administrator 또는 qwerty 등과 같이 추측하기 쉬운 사용자 이름과 암호를 사용하는 고객들은 네트워크에 대한 인증되지 않은 사용자 액세스나 인증되지 않은 입력이 발생할 가능성이 매우 클 수 있습니다.

익스플로이트(Exploit)
어떤 소프트웨어라도 소프트웨어 코드 내에 소위 취약점이나 "허점"을 포함하고 있을 수 있습니다. 악성 코드 작성자들은 이러한 허점을 악용할 수 있습니다. 일반적으로 소프트웨어 벤더들은 발견된 취약점을 위한 패치를 출시하고 있지만 이러한 패치가 설치되어 있는지 확인하는 것은 사용자의 책임입니다.

P2P 프로그램
P2P(Peer-to-Peer) 프로그램은 인터넷이 점차 다양화되면서 갈수록 널리 사용되고 있습니다. 사용자들은 흔히 P2P 애플리케이션을 통해 파일을 교환합니다. 설치 시 사용자는 주로 공유 파일을 저장하기 위해 가장 일반적으로 사용하는 폴더인 공유 폴더를 지정하라는 요청을 받게 됩니다. 바로 이 폴더가 일부 악성 코드의 전파에 이용됩니다.

일부 악성 코드는 공유되리라고 생각되는 폴더(예 : 공유 폴더 이름에 shar가 포함된 폴더)에 복제본을 퍼뜨리고 (주로 합법적인 소프트웨어나 아카이빙된 이미지로 위장한) 눈에 띄지 않는 파일 이름을 사용합니다. 사용자들이 이를 다운로드하고 실행하면 이 악성 코드가 전파됩니다.

공유 폴더에서 일반적으로 사용되는 악성 코드 복제본의 파일 이름은 The Sims crack.EXE, DivX 7.0 final.EXE 및 ACDSee 9.EXE입니다.

현재 사용자 계정 (Current User Account)
또한 악성 코드는 사용자 계정을 이용해 네트워크의 다른 시스템에 액세스할 수도 있습니다. 이는 특히 현재 사용자가 관리자이거나 네트워크 폴더에 대한 액세스를 허용할 수 있는 특별한 권한을 가지고 있는 경우에 가능합니다.

이러한 유형의 공격에 대응하기 위해 다음과 같은 예방 조치를 취하시기 바랍니다.

고유 암호를 사용합니다.
보안솔루션의 방화벽(Firewall) 기능을 반드시 사용합니다.

정기적으로 보안업체 사이트를 방문하여 제품 업데이트와 취약점 패치를 확인합니다.
네트워크에 액세스하고 네트워크를 공유하는 사용자들이 적절한 권한을 가지고 있는지 확인합니다.








e-메일 메시지

대량 메일(Mass-mailing) 악성 코드는 특정 주소로 한 번에 대량의 e-메일 메시지를 전송할 수 있습니다. 대혼란을 일으켰던 많은 대량 전자 메일 발송 악성 코드(mass-mailer)가 있으며, 이들 악성 코드는 세계 각지에 급속히 전파될 수 있기 때문에 널리 알려지게 됩니다.

악성 코드 작성자는 흥미를 끌거나 합법적인 기관에서 발송된 것처럼 e-메일 메시지를 작성합니다. 의심 없는 사용자들은 실제로 대량 메일 발송 웜을 받았음에도 불구하고 무해한 안부 카드를 받았거나 시스템 관리자로부터 바이러스 경고를 받았다고 생각하게 됩니다.

지금까지 이러한 방법은 유일하게 성공적으로 유지되고 있는 악성 코드 전파 기법으로 남아 있습니다. 트렌드 마이크로와 같은 바이러스 백신 업체에서 컴퓨터 및 네트워크를 위한 바이러스 발생 방지 서비스를 제공하고 있지만 이 방법은 일반적인 e-메일 사용자 활동과 인기 있는 관심거리를 교묘하게 다루기 때문에 이를 손쉽게 차단할 수 있는 방법은 없습니다.

대량 전자 메일 발송 악성 코드의 e-메일 메시지는 다양한 정보와 함께 전달됩니다. 어떤 e-메일 메시지는 위조된 주소와 함께 전달되며 또 다른 e-메일 메시지는 감염된 사용자의 e-메일 주소를 사용합니다. 일부 e-메일 메시지는 타겟 희생자의 주소록에 있는 e-메일 주소를 이용해 사용자가 해당 컨텐트를 신뢰할 수 있는 것이라고 계속 믿도록 만듭니다.

메시지 본문은 주로 모호하거나 흥미를 돋우는 표현으로 이뤄져 있으며 사용자들이 더 많은 정보를 확인하기 위해 첨부 파일을 열어 보도록 유도합니다. 일반적인 첨부 파일은 주로 .EXE, .PIF 또는 .SCR와 같은 확장자를 가집니다. 다음은 대량 전자 메일 발송 악성 코드 e-메일 메시지의 예입니다.

대규모 대량 메일 발송 악성 코드는 수천 만원의 비용 손실을 초래할 수 있습니다. 대량 메일 발송 악성 코드가 전송하는 대량의 e-메일로 인해 e-메일 서버의 성능이 저하되는 동시에 수신자의 메일함에 장애가 발생할 수도 있습니다. 네트워크 부하로 인해 다운이 될 수도 있습니다. 감염된 시스템은 대량 메일 발송 활동으로 인해 속도가 느려지고 시스템 사용자의 성능과 효율성을 저하시킬 수 있습니다.

또한 어떤 대량 메일 발송 악성 코드는 소위 페이로드라고 불리는 다른 악성 루틴을 보유하고 있습니다. 어떤 대량 메일 발송 악성 코드는 파일을 덮어 쓰거나 시스템 기능 장애를 발생시킬 수도 있습니다. 또 다른 대량 메일 발송 악성 코드는 지속적이고 끊임없는 액세스 요청을 받고 있는 웹사이트에서 DoS(Denial of Service) 공격을 실행시켜 해당 웹 사이트 서버에 문제를 일으킬 수도 있습니다

대량 메일 발송 악성 코드를 차단하고 이 악성 코드로 인한 손상을 방지하려면 다음과 같은 e-메일 메시지 관련 도움말을 따르십시오.

알지 못하는 발신자가 보낸 e-메일 메시지를 열지 마십시오.

발신자의 일반적인 서신과 관련성이 없어 보인다면 잘 알고 있는 발신자가 보낸 연속된 서신 형태의 e-메일 메시지를 열지 마십시오.

발신자나 수신자와 관련이 없는 자료나 요청하지 않은 자료와 같이 의심이 가는 첨부 파일을 열지 마십시오.

악성 코드가 발생한 경우 시스템 관리자에게 요청하여 대량 전자 메일 발송 악성 코드 e- 메일과 동일한 세부 사항(첨부 파일 이름, From 주소 등)이 포함된 e-메일 메시지를 차단하거나 필터링합니다.
e-메일 메시지를 열기 전에 첨부 파일을 검사합니다






인스턴트 메시지

가정과 회사에서 컴퓨터 사용자들 간에 인스턴트 메신저가 널리 사용되면서 가장 효과적인 최신 감염 경로로 악용되고 있습니다.

웜은 야후, AOL 및 MSN과 같은 대형 인터넷 업체에서 제공하고 있는 널리 보급된 인스턴트 메신저를 통해 전파될 수 있습니다. 이러한 웜은 주로 다음과 같은 인스턴트 메신저를 통한 전파 방식을 이용합니다.

이 웜은 인스턴트 메신저의 파일 전송 기능을 이용해 자기 복제본을 전송합니다.
인스턴트 메신저에는 또 다른 악성 코드에 연결되는 링크가 포함되어 있을 수 있습니다. 따라서 사용자가 인스턴트 메신저 대화 상자에 표시된 특정 링크를 클릭하면 웜의 사본이나 다른 모든 악성 코드가 감염된 시스템 상에서 자동으로 다운로드 및 실행됩니다.

다음과 같은 간략한 인스턴트 메신저 관련 지침을 따르시기 바랍니다.

알려지지 않은 소스의 파일 전송 요청을 수락하지 마십시오.

알려지지 않은 소스에서 전송한 링크를 클릭하지 마십시오.

보안업체를 통해 위협적인 환경에서 발견된 최신 웜에 대응할 수 있도록 최신 상태로 업데이트하십시오.

최신 웜과 관련된 특정 세부 정보를 위해 정기적으로 보안업체의 업데이트정보를 확인하십시오.
선호하는 인스턴트 메신저에서 제공하는 보안 업데이트를 정기적으로 설치하십시오.






기타 전파 방식

고유의 전파 방식이 없는 트로이 목마, 백도어 애플리케이션과 같은 악성 코드들도 있습니다. 이러한 악성 코드들은 주로 사용자들이 수동으로 설치하며 웹 사이트를 통해 (자동이나 수동으로) 다운로드될 수 있습니다.

이들 악성 코드는 주로 적절한 실행을 위해 몇몇 구성 요소를 필요로 하지만 모든 구성 요소가 제공되었을 경우 사용자 정보를 도용하거나 시스템 내에서 악성 코드 또는 스파이웨어를 퍼뜨리거나 실행시키는 등의 악의적인 활동을 수행할 수 있습니다. 또 다른 악성 코드는 파일을 삭제하거나 원격 사용자가 감염된 시스템에 액세스할 수 있도록 합니다.

이러한 유형의 공격으로부터 시스템을 보호하기 위해서는 다음과 같은 예방 조치를 취하시기 바랍니다.

인터넷 브라우저를 정기적으로 업그레이드 하십시오. 업데이트 및 패치를 위한 브라우저 웹 사이트를 확인하십시오. IE(Internet Explorer) 사용자의 경우 Windows Update Center를 방문하십시오

브라우저의 보안 수준을 확인하십시오. 신뢰할 수 있는 사이트로 지정된 사이트가 정확한지, 그리고 보안 설정이 올바른지 확인하십시오.

일부 악성 코드는 시스템 성능을 "향상"시킬 목적을 가지고 있는 무해한 프로그램으로 위장하여 다운로드 및 설치를 요청합니다. 사용자들은 익숙하지 않거나 잘 알지 못하는 프로그램을 설치하는 데 동의하지 않는 것이 좋습니다. 퍼블리셔 및 인스톨러를 확인하십시오.

브라우저 팝업 상의 "예" 버튼을 클릭하기 전에 생각해 보십시오. 설명서 및 면책 사항을 읽고 동의한 사항이 무엇인지 숙지하십시오.

네트워크에 액세스하고 네트워크를 공유하는 사용자들이 적절한 권한을 가지고 있는지 확인합니다.






저작권자 © 아이티데일리 무단전재 및 재배포 금지