| 리니지 사태, 중국산 백도어가 주범? | 2006.02.20 |
국내 악성프로그램 70%-트로이목마, 30% 백도어 접속자 많은 다른 유명 게임들도 결코 안심 못해 최신 백신으로도 잡지 못하는 신ㆍ변종 트로이목마 기승 최근 문제시되고 있는 주민번호 도용 사건과 관련된 일련의 내용들은 국내 유명 온라인 게임사용자들의 개인정보가 범죄목적으로 악용되고 있다는 점을 보여주는 한 사례라고 볼 수 있다. 지오트 바이러스 분석실 관계자는 “자체개발 솔루션을 통해 국내의 수 많은 웹사이트가 해킹되고 있는 것을 확인하고 있으며, 이는 국내 유명 온라인 게임의 개인정보(ID, PASSWORD)유출시도로 확대 되어지고 있다”고 밝혔다. 물론 게임사용자가 아닐 경우라도 트로이목마나 백도어에 감염될 경우 많은 부작용이 초래될 수 있는데, 트로이목마에 감염되면 인터넷 속도가 현저하게 느려지며, 백도어에 감염될 경우 개인 자료가 모두 유출될 수 있다.
지오트 관계자는 “이번 리니지 사태와 같은 대량 정보 유출은 이런 종류의 게임사용자 정보 유출시도용 트로이목마로는 현실적으로 어렵고, 백도어나 웹사이트 해킹과정에서 관리자 권한이나 데이터베이스에 접근하였을 가능성은 배제할 수 없을 것”이라고 설명했다. 현재 트로이목마나 백도어 등의 악의적인 프로그램을 유포하는 목적의 웹 사이트 해킹은 목적을 가지고 있다. 해킹되어 유포되는 악성프로그램들을 분석해 보면 약 70%가 국내 온라인 게임사용자들의 개인정보 유출을 시도하는 트로이목마이며, 약 30%정도가 원격제어가 가능한 백도어 프로그램이 차지하고 있다. 유출시도를 하는 공격대상 또한 국내의 다양한 게임으로 확대되고 있으며, 지오트 바이러스 분석실(GCERT)에서는 아래와 같은 게임정보 유출시도용 트로이목마를 지속적으로 발견하고 있고, 발견당시 많은 종류가 최신 백신에서 진단되지 않는 신종이나 변종이라는 점이다.(일부제거) 리** 미** ** 한** 넷** 피* 로* 마*** 분석실 관계자는 “그 외에도 게임운영 사이트나 국내 유명 포털 사이트, 게임 아이템 거래 사이트 등의 로그인 아이디 암호 등을 유출시도하는 트로이목마가 국내 특정 웹 사이트가 해킹되어 유포되는 것이 발견되고 있기도 하다”고 밝혔다. 한편 그는 “초기에는 특정 온라인 게임사용자의 로그인 계정과 암호유출용 트로이목마가 대부분 이였지만, 이후 특정 기술 정보사이트에서는 원격제어 프로그램(백도어)이 유포되기도 했으며, 게임 아이템 거래 사이트와 특정 포털 사이트의 로그인 계정과 암호를 훔쳐내려는 시도도 모니터링 과정에서 발견된 바 있다”고 덧붙였다. 또한 보안취약점을 이용한 감염방식과 함께 ActiveX 컨트롤을 이용한 방법 등의 사례도 여러차례 발견되었으며, 게임업체에서 배포중인 키보드 보안 프로그램을 우회하는 트로이목마도 발견된 바 있었다고 전했다. 이와 같이 해커의 공격기법과 훔치려는 개인정보가 다양화 되고 있다는 점을 좀더 주의깊게 파악하고 있어야 할 것으로 보인다. 또한 트로이목마나 백도어 등은 중국쪽과 긴밀한 연관성을 가지고 있는데, 게임사용자들의 개인정보 유출을 시도하는 트로이목마는 대부분이 특정 중국 사이트나 중국 이메일로 개인정보를 발신하고 있으며, 백도어 같은 경우도 중국산으로 알려진 것들이 대부분이다. 백도어에 감염될 경우에는 공격자의 역접속으로 인한 개인 자료유출의 가능성이 매우 높으며, 실제 더 위험한 것은 자신의 컴퓨터가 외부에 노출되었다는 것을 쉽게 느끼지 못한다는 점이다. 작년 5월부터 현재...4,700건 이상 해킹 발생 일부 사이트, 해킹 피해 숨기는 데만 급급해... 지오트 바이러스 분석실(GCERT)에서 작년 5월경부터 모니터링하며 수집한 국내(중국등 일부 외국 포함)의 악성프로그램 유포 시도용 해킹 건수는 2006년 2월 19일을 기준으로 약 4700건이 초과하였으며, 2월 3째주(13일~19일) 한 주간에만 298개의 사이트가 악의적인 프로그램을 유포하고 있는 것으로 확인되었다. 참고적으로 이 통계치는 계속 발견되는 블랙리스트를 일부 제외한 통계치로, 지속적으로 해킹피해를 입는 블랙리스트를 포함할 경우 피해 사이트 수는 대폭 증가할 수 있다. 분석실 관계자는 “아직도 많은 국내의 사이트들이 연속적으로 해킹피해를 보고 있으며, 다시 이곳은 이 사이트에 접속하는 불특정 다수의 네티즌들에게 트로이목마나 백도어 프로그램을 유포하는 가해사이트로 악용되고 있다”고 강조했다. 특히 국내의 해킹 피해로 인한 내용을 발견하여 해당 관계자에 통보할 경우 거의 대부분이 해당 사실만을 숨기는데 급급하고 있어, 해당 사이트를 믿고 방문하였던 많은 사용자들만이 감염원인을 알지 못하는 피해를 보고 있기도 하다. 지오트 관계자는 “포털, 게임, 기업, 관공서, 영화, 언론, 교회, 연예인, 대학, 방송, 쇼핑사이트등 너나 할 것 없이 국내의 많은 사이트가 단순한 해킹이 아닌 추가적인 범죄목적의 해킹에 노출되어 사용되고 있다는 것을 사회적인 문제로 받아들여야 할 때다. 이제는 해킹내용을 숨기고, 쉬쉬할 때만이 아니라 좀더 많은 사람들이 이런 보안 문제를 인식하고 좀더 적극적인 자세로 임해야 할 때”라고 말했다. 가해자 확인어렵고 피해자만 증가 해킹, 이제 범국가적 차원에서 대비책 세워야... 자신의 눈으로 직접 보지 않고서는 믿지 못할 정도로 국내의 많은 사이트들이 보안취약점과 ActiveX 컨트롤 등을 통해서 악성프로그램을 일반 네티즌들에게 유포하고 있다. 보통 국내의 백신업체는 신고접수율 등을 기준으로 단계별로 보안위협등급을 나누어 컴퓨터 사용자들에게 보안알림 서비스를 진행하고 있다. 하지만 이런 종류의 악성프로그램 유포는 사용자가 인지하기 어렵다는 것이 가장 큰 어려움이며, 그래서 어느 정도의 악성프로그램이 유포되는지 파악하기 힘든 상황이며, 어디서 감염되는지 조차 알 수 없는 것이 대부분이다. 가해자는 분명 존재하지만 확인이 어렵고, 피해자만 증가할 뿐이다. 사용자의 신고율에 의해서 대비하는 것도 중요하지만 현재 어떠한 사이트들이 해킹되어 악성프로그램이 유포되는지, 그리고 신속하게 감지하여 해당 사이트 관리자에게 후속조치를 권고하는 것은 더더욱 중요한 보안관계자의 업무일 것이다. 좀더 많은 사용자가 웹사이트의 해킹과 트로이목마의 위험성에 노출되어 있다는 것을 인식해야 함은 물론 최신 보안패치와 최신 정보, 최신 보안프로그램 등을 잘 관리하는 것이 최선의 방어책일 것이다. 해킹 사이트를 통해서 유포되는 트로이목마나 백도어는 게임사용자만의 문제가 아닌 범국가적인 보안의식 문제와 결부된다는 것도 다시 한번 되새겨보았으면 한다. <참고자료> 해킹을 통한 트로이목마 유포통계 http://www.geot.co.kr/customer/customer_notice_view.php?db=notice&no=342&page=3 사이트 해킹을 통한 트로이목마 유포목적 http://www.geot.co.kr/customer/customer_notice_view.php?db=notice&no=283&page=2 http://www.geot.co.kr/customer/customer_notice_view.php?db=notice&no=326&page= 지오트 웹 해킹 스캔(GWHS) 동영상 http://www.geot.co.kr/customer/customer_notice_view.php?db=notice&no=337&page=1
[길민권 기자(boannews@infothe.com)]
<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.> |
|
 |
