• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

관음증에 걸린 악성해커, 내 PC를 보고 있다! 2009.03.12

감염된 PC 한대가 동일 네트워크 망 마비...회사 기밀유출 비상

개인 ID·PW 유출 및 금융정보 유출로 인한 피해 우려

대량 PC 감염에 의한 원격 DDoS 공격도 가능해


내 개인정보와 회사의 기밀정보 등을 빼내기 위해 크래커(악성 해커)들은 이제 네트워크 망을 공격해 직접 해킹을 한다거나 하는 힘들고 번거로운 작업을 하지 않는다.


최근 주로 사용되는 방식이 ARP스푸핑 공격을 기반으로 만들어진 웜을 제작해 이를 통해 사용자 PC를 원격에서 제어하고 사용자 PC가 물려 있는 동일 네트워크 망의 모든 PC를 장악하는 수법이 주로 사용되고 있다. 이를 통해 개인정보·금융정보·회사기밀 등을 원격에서 모두 빼내갈 수 있기 때문이다.


지난 10일 삼성동 코엑스 3층 컨퍼런스 홀에서 개최된 ‘KISA 정보보호 연구성과물 전시 및 발표회’에서 쿼드디멘션스 QA팀 이창선씨(파워해커)는 해킹시연을 통해 그와 같은 공격이 실제로 가능하고 이를 통해 회사기밀을 빼내가는 과정을 직접 보여주었다.


◇나도 모르는 사이에 내 PC 크래커의 손에...개인정보 다 빼가

PC 사용자는 인터넷을 사용할 때 게이트웨이를 통해 정보를 주고받을 수 있다. 이때 중간에서 공격자가 ARP스푸핑 공격을 통해 패킷을 가로채고 이를 교체하게 된다. 이렇게 되면 사용자는 게이트웨이를 통해 인터넷에 접속하는 것이 아니라 공격자의 PC 서버를 통하여 인터넷에 접속하게 된다.


피해자는 자신이 공격을 받고 있는지도 모른 채 인터넷서핑을 하고 은행 사이트에서 인터넷뱅킹도 한다. 또 결제사이트에서 사이버 결제도 하고 포털 사이트에 로그인해 메일도 보내게 된다. 크래커는 이 모든 것을 화면캡쳐를 통해 당신의 PC를 들여다 볼 수 있다.


이창선 씨는 “ARP스푸핑 공격을 통해 피해자의 PC에 다양한 악성코드를 심어 놓게 되면 그때부터는 피해자가 PC에서 하는 모든 것을 볼 수 있게 된다”며 “화면캡쳐 방식으로 실시간 피해자 PC를 볼 수 있기 때문에 피해자가 보관하고 있는 ID와 PW에 대한 정보를 수집할 수도 있고, 또한 키로그(Keylog) 기능을 추가하여 키보드로 입력한 데이터도 수집할 수 있다”고 경고했다.(아래 이미지, ARP스푸핑을 이용한 공격 구성도. 제공 이창선)   


◇회사 전체 네트워크 망 피해...정보유출 및 DDoS 공격 가능

또한 피해자가 감염된 PC로 회사내부에 들어가 내부 망에 접속하게 되면 같은 네트워크 망을 사용하는 모든 PC에도 동일한 공격이 가능해 지기 때문에 회사 전체 PC가 타격을 받을 수 있다는 것. 물론 회사 기밀유출도 크래커가 마음만 먹으면 가능한 상황이다.


이는 또 동일한 네트워크 망을 사용하는 아파트 단지 내에서도 공격이 가능하기 때문에 같은 아파트에 사는 누군가가 공격을 받게 되면 아파트 내의 모든 PC를 상대로 공격이 가능하다. 또 많은 PC가 크래커의 손에 들어오게 되면 원격조정을 통해 DDoS 공격도 가능해진다는 것이다.


이러한 위협에 대응하기 위해서 사내 네트워크 담당자와 개인들은 어떠한 조치를 취해야 할까.


◇개인-보안패치와 백신설치는 기본

이씨는 “개인들은 액티브X 설치시 검증된 인증기관에서 제작된 프로그램인지를 꼭 확인해야 한다”고 강조했다. 하지만 이 또한 공격기술의 발달로 브라우저의 자바스크립트를 이용한 제로데이 취약점을 이용한다면 속수무책으로 당할 수밖에 없다“고 경고했다.


ARP스푸핑 공격을 하는 웜 감염을 막기 위해 개인들은 각종 보안패치를 정기적으로 해야 하며 신뢰할 수 있는 안티바이러스 백신으로 실시간 감시하는 것이 최선의 방법이라고 한다.


또한 개인들도 PC의 개인방화벽 기능을 세팅해두면 도움을 받을 수 있다고 한다. 방화벽 세팅법을 숙지해 PC 포트가 열려있는지 확인하는 것이 공격에 의한 피해를 줄일 수 있다는 것이다.


한편 사내 네트워크 담당자들은 어떻게 대비해야 할까.


◇기업-ARP스푸핑 공격 방화벽 관리 철저히...VLAN 사용 권장

그는 “보안관리자들은 사내 네트워크 망에 보안장비가 장착된 허브나 라우터를 사용해야 한다. 특히 ARP스푸핑 공격을 차단할 수 있는 장비들이 나와 있기 때문에 차단장비를 설치해 둔다면 상당부분 공격을 막을 수 있을 것”이라고 말했다.


특히 관리자들은 사내 방화벽 관리를 철저히 해야 한다고 말했다. 그는 “사내 방화벽에 게이트웨이 IP가 아닌 다른 PC IP에서 ARP패킷을 전송한다면 이를 차단해야 한다”며 “네트워크 관리자가 차단 룰을 방화벽/IDC 등에 적용하면 간단히 해결할 수 있다”고 조언했다.


덧붙여 VLAN 사용을 권장했다. 사내 전체를 동일한 네트워크 망으로 구성하면 위험하기 때문이다. 여러 부서마다 가상화를 통해 네트워크 망을 다르게 설정한다면 공격을 받더라도 특정 망만 피해를 보기 때문에 피해를 최소화할 수 있다는 것이다.


이씨는 “지난해 말부터 최근까지 웜 공격 패턴이 대부분 ARP스푸핑 공격을 기반으로 한 공격들이기 때문에 보안에 취약한 개인 PC는 손쉽게 크래커들의 손에 넘어갈 수 있다”며 “이를 통해 정보유출은 물론 DDoS 공격까지 이루어질 수 있어 개인과 네트워크 담당자는 대비책을 마련해야 할 것”이라고 말했다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>